Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/DelfJ0

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.05.2005, 12:37   #1
subway
 
Trojaner TR/DelfJ0 - Icon23

Trojaner TR/DelfJ0



Hallo erstmal,

ich hatte mir, vor ca. 2 Monaten, einen Trojaner eingefangen und habe daraufhin einen Format C gemacht (auf anraten von einigen Foren).

Jetzt bekomm ich seit ca. 3 Tagen einmal am Tag eine Warnung von meinem AntiVir das ich folgenden Trojaner habe:

C:\WINDOWS\SYSTEM32\TASKMGE.EXE
Ist das Trojanische Pferd TR/Delf.JO

Ich habe bis jetzt immer folgendes angeklickt:

Betroffene Datei löschen

aber leider hat es nix geholfen.

Tja also wenn ich ehrlich bin...ich weiss nicht mehr, was ich sonst noch machen kann. Hoffe nur, das der nicht wieder zur Folge hat, das ich einen Format C machen muss

Wäre super, wenn Ihr mir hier etwas helfen könntet

So dann sag ich schon mal Danke im voraus

Subway

Alt 03.05.2005, 12:55   #2
Haui45
 
Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



Hallo,

poste bitte mal ein HijackThis-Logfile.
__________________


Alt 03.05.2005, 12:58   #3
Gigamail
 
Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This
__________________
__________________

Alt 03.05.2005, 12:58   #4
subway
 
Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



mach ich doch gerne, wenn du mir auch noch sagst, wo ich sowas finde :-(

sorry, kenn mich damit leider überhaupt nicht aus

Alt 03.05.2005, 13:00   #5
Gigamail
 
Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



einfach auf die unterstrichenen Wörter klicken, das sind Link's

__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 03.05.2005, 13:08   #6
subway
 
Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



man langsam komm ich mir ich dämlich vor

hab die .exe ausgeführt..in den fenster kann ich folgendes ausführen:

"Do a system scan and save a logfile"
"Do a system scan only"
"View the list of backups"
"Open the misc Tools section"
"Open online HijackThis QuickStart"

naja vielleicht is ja nochmal jemanden so dämlich und ich helf ihm hier mit *grins*

hatte dann eben das oberste versucht...hm da stehen aber verdammt viele infos drin..und sowas hier in die öffentlichkeit kopieren...komisches gefühl :-(

aber wenns hilft

Alt 03.05.2005, 13:12   #7
Haui45
 
Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



Lies den von mir geposteten Link aufmerksam durch, damit sollte jede Frage beantwortet werden.

Alt 03.05.2005, 13:53   #8
subway
 
Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



ok habs..hoffe ich hab alles raus, was mich persönlich betrifft

Logfile of HijackThis v1.99.1
Scan saved at 14:03:59, on 03.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\Gmail Notifier\gnotify.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmge.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Goto.Games\NetGammon8\NETGAMMON8.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\eMule\emule.exe
C:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\WINDOWS\system32\defrag.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Trojaner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.**.de/**_fb3_1806/plugin/AXFOAM.CAB
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Alt 03.05.2005, 14:16   #9
Gigamail
 
Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



Zitat:
O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe
die Datei wird von einigen AV Herstellern als Backdoorvirus erkannt, da würde ich bald ein Neuaufsetzen empfehlen. Lasse nochmal die Datei hier scannen und teile das Ergebnis mit

Prozess vorher im Taskmanager beenden
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 03.05.2005, 14:30   #10
subway
 
Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



ok habs gemacht, aber er kann die datei nicht scannen...jedesmal geht eine AV Warnung auf...

und von der scann-seite bekomm ich:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

hm und nu ?

Alt 03.05.2005, 14:50   #11
Gigamail
 
Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



schalte mal den Virenscanner ab und versuch es nochmal (hast du den Prozess im Taskmanager beendet?)
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 03.05.2005, 15:10   #12
subway
 
Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



jepp dann ging es

Datei: taskmge.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir TR/Delf.JO gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Delf.JO gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan.Win32.Delf.jo gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Trojan.Win32.Delf.jo gefunden

Alt 03.05.2005, 15:29   #13
Chris14
 

Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



hmm gut. der trojaner ist auf zerstören aus, nicht auf übernahme des rechners. deshalb ist eine bereinigung noch sinnvoll. er zerstört alle dokumente, also diese dateitypen:
CHM
DOC
GIF
JPEG
JPG
MDB
PDF
PPS
PPT
RAR
SWF
XLS
ZIP
quelle: http://www.sophos.de/virusinfo/analyses/trojdelfjo.html

also führe das aus:

1.escan
-lade dir escan runter und gehe genau nach dieser Anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe


3.dateien löschen
-lösche die datei taskmge.exe im ordner c:\windows\system32
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

Alt 03.05.2005, 15:35   #14
Gigamail
 
Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



lade dir escan, Link und Anleitung siehe unten. Halte dich unbedingt an die Anleitung

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung
folgende Einträge:

O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe

wenn du das nicht kennst auch fixen
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.**.de/**_fb3_1806/plugin/AXFOAM.CAB

lösche von Hand:
C:\WINDOWS\system32\taskmge.exe

solltest du das nicht kennen auch löschen gegebenenfalls vorher deinstallieren:
C:\Programme\Webshots\Launcher.exe
C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "C:\bases_x" . Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung .Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus (Haken setzen bei All Local Drives und All Scan Files).Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - das geht so:

Mittels Rechtsklick --> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\eScan_neu.txt hier posten.Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)


neu booten neues HJT posten
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 03.05.2005, 15:40   #15
Chris14
 

Trojaner TR/DelfJ0 - Standard

Trojaner TR/DelfJ0



ähm jep gigamail. das ist das ungefähr gleiche was ich gepostet hab....
nebenbei gehört webshots zum cameratreiber. aber ok, mehre hilfen sind ja umso besser

Antwort

Themen zu Trojaner TR/DelfJ0
antivir, danke, datei, eingefangen, folge, folgende, folgenden, folgendes, foren, format, gefangen, gen, hoffe, monate, nicht mehr, pferd, super, system, system32, tagen, troja, trojaner, trojaner eingefangen, trojanische, trojanische pferd, warnung, windows



Zum Thema Trojaner TR/DelfJ0 - Hallo erstmal, ich hatte mir, vor ca. 2 Monaten, einen Trojaner eingefangen und habe daraufhin einen Format C gemacht (auf anraten von einigen Foren). Jetzt bekomm ich seit ca. 3 - Trojaner TR/DelfJ0...
Archiv
Du betrachtest: Trojaner TR/DelfJ0 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.