Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 03.12.2007, 17:17   #1
Bene
Gast
 
Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2 - Standard

Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2



Hallo,

ich habe einen Dropper namens DR/Delf.0.1 und TR/Drop Agent AHR.2
Dies hat mir mein Virenscanner AntiVir ausgespuckt.
Mein Betriebsysthem ist Windows ME.
Es kommt öfters eine Fehlermeldung, in der aber nichts steht außer der Butten schließen und manchmal geht ein Fenster auf, das mir sagt, dass mein Arbeitsspeicher voll ist und ich das Programm das ich angeklickt habe nicht geöffnet werden kann. Den genauer Wortlaut kann ich nicht wiedergeben, weil diese Fehlermeldung schon länger nicht mehr kam.
Ich habe Hijack This verwendet und der hat mir dies angezeigt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:55, on 03.12.2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ARCORONLINE\AOBUTLER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS202.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\WUAUBOOT.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.freenet.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\PROGRAMME\ASKTBAR\BAR\1.BIN\ASKTBAR.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\PROGRAMME\ASKTBAR\BAR\1.BIN\ASKTBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O4 - .DEFAULT Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe (User 'Default user')
O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (User 'Default user')
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .de/WFEBus/befreiung/CreatePdfServlet;jsessionid=1751663262E326A5D0C657B62D8621F6?pdfid=1751663262E326A5D0C657B62D8621F61194269729840: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20060104/qtinstall.info.apple.com/snape/us/win/QuickTimeInstaller.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab

--
End of file - 5725 bytes


Ich hoffe es kann mir jemand weierhelfen. Auf jeden Fall schon mal herzlichen Dank!!!

Gruß Bene!!!

Alt 04.12.2007, 08:32   #2
Chris4You
 
Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2 - Standard

Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2



Hi,

Dein HJ-Log ist eher unverdächtig, Du hast allerdings einen total veralteten IE drauf (Firefox?).
Führe noch mal ein Log durch, nenne aber vorher die HJ.exe um auf Test.com!
Poste das neue Log.

Datfind:
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
Datfindbat

Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris
__________________

__________________

Alt 04.12.2007, 14:32   #3
Bene
Gast
 
Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2 - Standard

Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2



Hi,

herzlichen Dank schon mal!!!
Ich weiß nicht was das für ein Version des Internet Explorers ist. Soll ich mir eine neu downloaden?

Ich hoffe ich habe alles richtig gemacht. Ist Test.com das gleiche wie pruefung.com? Dabei kam dieser HJ-Log raus:

Logfile of HijackThis v1.99.1
Scan saved at 13:56:23, on 04.12.2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ARCORONLINE\AOBUTLER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\PRUEFUNG.COM

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.freenet.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\PROGRAMME\ASKTBAR\BAR\1.BIN\ASKTBAR.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\PROGRAMME\ASKTBAR\BAR\1.BIN\ASKTBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .de/WFEBus/befreiung/CreatePdfServlet;jsessionid=1751663262E326A5D0C657B62D8621F6?pdfid=1751663262E326A5D0C657B62D8621F61194269729840: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20060104/qtinstall.info.apple.com/snape/us/win/QuickTimeInstaller.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab




Datfind zeigt mir dies an:


Datentr„ger in Laufwerk C: hat keine Bezeichnung
Seriennummer des Datentr„gers: 15F8-2476
Verzeichnis von C:\WINDOWS\TEMP

~DF1514 TMP 1.536 04.12.07 13:42 ~DF1514.TMP
UPD115 TMP 0 03.12.07 17:16 Upd115.TMP
~DF6C27 TMP 8.192 03.12.07 16:33 ~DF6C27.TMP
UPD92B1 TMP 0 03.12.07 15:41 Upd92B1.TMP
~DFEA1F TMP 14.336 28.11.07 17:43 ~DFEA1F.TMP
~DFDC8A TMP 8.192 28.11.07 17:01 ~DFDC8A.TMP
~DF36EC TMP 8.192 28.11.07 17:00 ~DF36EC.TMP
~DF256E TMP 8.192 28.11.07 16:58 ~DF256E.TMP
~DF2DE3 TMP 14.336 28.11.07 15:02 ~DF2DE3.TMP
~DFC258 TMP 1.536 28.11.07 10:14 ~DFC258.TMP
~DF306A TMP 1.536 28.11.07 9:58 ~DF306A.TMP
UPD20B3 TMP 0 28.11.07 9:34 Upd20B3.TMP
~DF7E99 TMP 1.536 27.11.07 12:32 ~DF7E99.TMP
~DF1B92 TMP 14.336 26.11.07 18:03 ~DF1B92.TMP
MSIEVENT LOG 13.489 26.11.07 17:54 msievent.log
MSI99E44 LOG 101 26.11.07 17:54 MSI99e44.LOG
MSI96E90 LOG 101 26.11.07 17:54 MSI96e90.LOG
~DFE38B TMP 1.536 26.11.07 17:36 ~DFE38B.TMP
ACR8264 TMP 179 26.11.07 15:19 Acr8264.TMP
ACR8272 TMP 2.048.000 26.11.07 15:19 Acr8272.TMP
ZTR9082 TMP 68.544 26.11.07 13:41 ZTR9082.TMP
FOR9082 TMP 1.318 26.11.07 13:41 FOR9082.TMP
ACR8270 TMP 0 26.11.07 13:40 Acr8270.TMP
ACR8266 TMP 426 26.11.07 13:40 Acr8266.TMP
UPD50C3 TMP 0 26.11.07 13:37 Upd50C3.TMP
UPD8061 TMP 0 20.11.07 14:08 Upd8061.TMP
~DF575A TMP 14.336 20.11.07 13:49 ~DF575A.TMP
~DFDA35 TMP 1.536 20.11.07 13:35 ~DFDA35.TMP
PRSETUP EXE 624.725 19.11.07 18:28 prsetup.exe
UPD8054 TMP 0 19.11.07 14:08 Upd8054.TMP
~DF6B0B TMP 1.536 18.11.07 11:56 ~DF6B0B.TMP
UPD81A0 TMP 0 18.11.07 11:56 Upd81A0.TMP
~DFEEB0 TMP 14.336 14.11.07 15:08 ~DFEEB0.TMP
~DF37B7 TMP 14.336 14.11.07 14:16 ~DF37B7.TMP
_INS5176 _MP 594.944 14.11.07 14:03 _INS5176._MP
ZDATAI51 DLL 53.760 14.11.07 14:03 ZDATAI51.DLL
_WUTL951 DLL 46.592 14.11.07 14:03 _WUTL951.DLL
UPDB0F1 TMP 0 14.11.07 13:59 UpdB0F1.TMP
UPDB0F5 TMP 0 13.11.07 13:59 UpdB0F5.TMP
RAMA296 RAM 216 13.11.07 10:42 ramA296.ram
UPD84 TMP 0 12.11.07 14:00 Upd84.TMP
UPDB100 TMP 0 12.11.07 13:59 UpdB100.TMP
~DF603C TMP 1.536 11.11.07 13:27 ~DF603C.TMP
UPDB0A5 TMP 0 11.11.07 13:27 UpdB0A5.TMP
UPD90C2 TMP 0 08.11.07 19:57 Upd90C2.TMP
UPD2184 TMP 0 07.11.07 15:18 Upd2184.TMP
UPD2A0 TMP 0 06.11.07 12:48 Upd2A0.TMP
TWAIN LOG 715 05.11.07 16:27 TWAIN.LOG
TWAIN001 MTX 4 05.11.07 16:27 Twain001.Mtx
TWUNK001 MTX 156 05.11.07 16:27 Twunk001.MTX
~DF5BB8 TMP 1.536 05.11.07 12:48 ~DF5BB8.TMP
UPD285 TMP 0 05.11.07 12:48 Upd285.TMP
UPD7330 TMP 0 31.10.07 18:23 Upd7330.TMP
~DF5928 TMP 14.336 29.10.07 20:56 ~DF5928.TMP
UPD6234 TMP 0 29.10.07 15:38 Upd6234.TMP
UPD91B3 TMP 0 24.10.07 15:25 Upd91B3.TMP
~DF5D60 TMP 14.336 23.10.07 19:47 ~DF5D60.TMP
UPD91A3 TMP 0 23.10.07 15:25 Upd91A3.TMP
UPD7123 TMP 0 22.10.07 11:39 Upd7123.TMP
UPDE264 TMP 0 18.10.07 15:14 UpdE264.TMP
UPDB026 TMP 0 17.10.07 11:43 UpdB026.TMP
H2RC076 TMP 3.088 17.10.07 10:44 h2rC076.TMP
UPDB025 TMP 0 16.10.07 11:43 UpdB025.TMP
~DF56E0 TMP 14.336 15.10.07 17:20 ~DF56E0.TMP
UPD1270 TMP 0 15.10.07 11:17 Upd1270.TMP
UPD2096 TMP 0 13.10.07 16:34 Upd2096.TMP
~DF6852 TMP 14.336 12.10.07 0:40 ~DF6852.TMP
UPD41B3 TMP 0 12.10.07 0:36 Upd41B3.TMP
~DF5990 TMP 14.336 10.10.07 22:19 ~DF5990.TMP
UPD6006 TMP 0 10.10.07 19:22 Upd6006.TMP
~EMF0469 TMP 16.661.448 09.10.07 15:58 ~EMF0469.TMP
UPD210 TMP 0 09.10.07 15:48 Upd210.TMP
~DF592D TMP 1.536 06.10.07 16:53 ~DF592D.TMP
UPD5072 TMP 0 06.10.07 16:53 Upd5072.TMP
UPD4394 TMP 0 03.10.07 14:36 Upd4394.TMP
UPD4386 TMP 0 02.10.07 14:36 Upd4386.TMP
~DF5C59 TMP 14.336 01.10.07 21:47 ~DF5C59.TMP
UPD43A3 TMP 0 01.10.07 14:37 Upd43A3.TMP
ZGI5106 TMP 21.821.504 27.09.07 10:40 ZGI5106.TMP
UPD2053 TMP 0 26.09.07 13:02 Upd2053.TMP
UPD2060 TMP 0 25.09.07 13:02 Upd2060.TMP
UPD50A5 TMP 0 24.09.07 10:21 Upd50A5.TMP
UPD201 TMP 0 20.09.07 13:16 Upd201.TMP
UPD1F6 TMP 0 19.09.07 13:16 Upd1F6.TMP
~DF190F TMP 10.752 18.09.07 20:02 ~DF190F.TMP
UPD200 TMP 0 18.09.07 13:16 Upd200.TMP
~DF7719 TMP 14.336 17.09.07 20:38 ~DF7719.TMP
UPD212 TMP 0 17.09.07 13:16 Upd212.TMP
UPD5113 TMP 0 15.09.07 11:21 Upd5113.TMP
UPD5311 TMP 0 14.09.07 8:37 Upd5311.TMP
UPD2A3 TMP 0 13.09.07 12:00 Upd2A3.TMP
UPD151 TMP 0 13.09.07 12:00 Upd151.TMP
UPD4161 TMP 0 12.09.07 20:04 Upd4161.TMP
UPD4162 TMP 0 12.09.07 20:04 Upd4162.TMP
~DF45 TMP 14.336 09.09.07 19:56 ~DF45.TMP
UPD101 TMP 0 09.09.07 18:16 Upd101.TMP
~DF60D0 TMP 14.336 07.09.07 20:43 ~DF60D0.TMP
UPD30C1 TMP 0 07.09.07 16:51 Upd30C1.TMP
~DF673E TMP 14.336 06.09.07 6:45 ~DF673E.TMP
UPD7115 TMP 0 06.09.07 6:07 Upd7115.TMP
UPD3140 TMP 0 04.09.07 20:35 Upd3140.TMP
UPD3130 TMP 0 03.09.07 20:35 Upd3130.TMP



und Silent Runners gibt mir dies:


"Silent Runners.vbs", revision 53, http://www.silentrunners.org/
Operating System: Windows Me (Millennium Edition)
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"PCHealth" = "C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"QuickTime Task" = ""C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime" ["Apple Computer, Inc."]
"AVG7_CC" = "C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP" [file not found]
"AVG7_EMC" = "C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE" [file not found]
"AVG7_AMSVR" = "C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE" [file not found]
"Hidserv" = "Hidserv.exe run" [MS]
"Arcor Online" = (empty string) [file not found]
"avgctrl" = ""C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min" ["Avira GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SchedulingAgent" = "mstask.exe" [MS]
"SSDPSRV" = "C:\WINDOWS\SYSTEM\ssdpsrv.exe" [MS]
"*StateMgr" = "C:\WINDOWS\System\Restore\StateMgr.exe" [MS]
"StillImageMonitor" = "C:\WINDOWS\SYSTEM\STIMON.EXE" [MS]
"KB891711" = "C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE" [MS]
"schedm" = ""C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"" ["Avira GmbH"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
PerUser_CVT_Inis\(Default) = "Windows Setup - FAT32-Konvertierung"
\StubPath = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CVT_Inis 64 C:\WINDOWS\INF\applets1.inf" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL" ["Adobe Systems Incorporated"]
{FE063DB1-4EC0-403e-8DD8-394C54984B2C}\(Default) = "Ask Toolbar BHO"
-> {HKLM...CLSID} = "Ask Toolbar BHO"
\InProcServer32\(Default) = "C:\PROGRAMME\ASKTBAR\BAR\1.BIN\ASKTBAR.DLL" ["Ask.com"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universal Plug and Play Devices"
-> {HKLM...CLSID} = "Universal Plug and Play Devices"
\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\UPNPUI.DLL" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRAMME\MICROSOFT OFFICE\OFFICE10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\PROGRAMME\REAL\REALPLAYER\RPSHELL.DLL" ["RealNetworks, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["Avira GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["Avira GmbH"]


System Policies {policy setting}:
---------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"CDRAutoRun" = (REG_BINARY) hex:00 00 00 00
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by System Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\Desktop\urlaub\Griechenland3\Large\Bild008_Neg.Nr.9.jpg"


WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
"SCRNSAVE.EXE=none" [file not found]


Startup items in "Startup" & "All Users...Startup" folders:
-----------------------------------------------------------

C:\WINDOWS\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Erinnerungen für Microsoft Works-Kalender" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"Programmstart beschleunigen" -> launches: "walign" [MS]
"PCHealth-Planer für die Zusammenstellung der Daten" -> launches: "C:\WINDOWS\PCHEALTH\SUPPORT\PCHSCHD.EXE -c" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1
C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{FE063DB9-4EC0-403E-8DD8-394C54984B2C}"
-> {HKLM...CLSID} = "Ask Toolbar"
\InProcServer32\(Default) = "C:\PROGRAMME\ASKTBAR\BAR\1.BIN\ASKTBAR.DLL" ["Ask.com"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{FE063DB9-4EC0-403E-8DD8-394C54984B2C}" = (no title provided)
-> {HKLM...CLSID} = "Ask Toolbar"
\InProcServer32\(Default) = "C:\PROGRAMME\ASKTBAR\BAR\1.BIN\ASKTBAR.DLL" ["Ask.com"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{72FE8681-0BFA-471B-9B2A-B37ED68DD09E}\(Default) = "Ask PopSwatter"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "MSN Messenger Service"
"Exec" = "C:\PROGRA~1\MESSEN~1\MSMSGS.EXE" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="ie.search.msn.de"

Missing lines (compared with English-language version):
[Strings]: 1 line

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "NavigationFailure" = "res://shdoclc.dll/navcancl.htm" [MS]
<<H>> "DesktopItemNavigationFailure" = "res://shdoclc.dll/navcancl.htm" [MS]
<<H>> "NavigationCanceled" = "res://shdoclc.dll/navcancl.htm" [MS]
<<H>> "OfflineInformation" = "res://shdoclc.dll/offcancl.htm" [MS]
<<H>> "PostNotCached" = "res://mshtml.dll/repost.htm" [MS]


---------- (launch time: 2007-12-04 14:25:08)
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 25 seconds, including 5 seconds for message boxes)


Gruß Bene!
__________________

Alt 04.12.2007, 15:58   #4
Chris4You
 
Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2 - Standard

Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2



Hi,

hmm, immer noch nichts zu finden...
Allerdings fehlen vom Datfind-report das windows und system Verzeichnis,
bitte noch posten....

Du solltest versuchen den IE-upzudaten (ob der 7 noch auf ME läuft weiss ich nicht....)

Ich nehme an die Pruefung.com auf dem Desktop ist HJ?

Scannen wir mal mit Dr. Web (der läuft auch unter Me):
Anleitung: Anleitung: DrWeb - CureIt - Anleitung
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de
Poste das Log...

Gruß,
Chris

Ps.: Bin morgen den ganzen Tag ab 05:00 Uhr unterwegs, daher geht es von meiner Seite erst am Donnerstag weiter....
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 04.12.2007, 20:33   #5
Bene
Gast
 
Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2 - Standard

Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2



Hi!

Ja, Pruefung.com auf dem Desktop ist HJ.
Ich hoffe, dass das der komplette Dat-Find Report ist:

Datentr„ger in Laufwerk C: hat keine Bezeichnung
Seriennummer des Datentr„gers: 15F8-2476
Verzeichnis von C:\WINDOWS\SYSTEM32

MSVCRT DLL 295.000 06.11.06 22:11 msvcrt.dll
1 Datei(en) 295.000 Bytes
0 Verzeichnis(se) 10.979,05 MB frei


Datentr„ger in Laufwerk C: hat keine Bezeichnung
Seriennummer des Datentr„gers: 15F8-2476
Verzeichnis von C:\WINDOWS\TEMP

~EMF360A TMP 244.012 04.12.07 20:20 ~EMF360A.TMP
~EMF365E TMP 285.224 04.12.07 20:20 ~EMF365E.TMP
~EMF3674 TMP 33.476 04.12.07 20:20 ~EMF3674.TMP
~DF4498 TMP 1.536 04.12.07 19:39 ~DF4498.TMP
UPD7160 TMP 0 04.12.07 17:07 Upd7160.TMP
~DFDC7F TMP 1.536 04.12.07 17:05 ~DFDC7F.TMP
UPD115 TMP 0 03.12.07 17:16 Upd115.TMP
~DF6C27 TMP 8.192 03.12.07 16:33 ~DF6C27.TMP
UPD92B1 TMP 0 03.12.07 15:41 Upd92B1.TMP
~DFEA1F TMP 14.336 28.11.07 17:43 ~DFEA1F.TMP
~DFDC8A TMP 8.192 28.11.07 17:01 ~DFDC8A.TMP
~DF36EC TMP 8.192 28.11.07 17:00 ~DF36EC.TMP
~DF256E TMP 8.192 28.11.07 16:58 ~DF256E.TMP
~DF2DE3 TMP 14.336 28.11.07 15:02 ~DF2DE3.TMP
~DFC258 TMP 1.536 28.11.07 10:14 ~DFC258.TMP
~DF306A TMP 1.536 28.11.07 9:58 ~DF306A.TMP
UPD20B3 TMP 0 28.11.07 9:34 Upd20B3.TMP
~DF7E99 TMP 1.536 27.11.07 12:32 ~DF7E99.TMP
~DF1B92 TMP 14.336 26.11.07 18:03 ~DF1B92.TMP
MSIEVENT LOG 13.489 26.11.07 17:54 msievent.log
MSI99E44 LOG 101 26.11.07 17:54 MSI99e44.LOG
MSI96E90 LOG 101 26.11.07 17:54 MSI96e90.LOG
~DFE38B TMP 1.536 26.11.07 17:36 ~DFE38B.TMP
ACR8264 TMP 179 26.11.07 15:19 Acr8264.TMP
ACR8272 TMP 2.048.000 26.11.07 15:19 Acr8272.TMP
ZTR9082 TMP 68.544 26.11.07 13:41 ZTR9082.TMP
FOR9082 TMP 1.318 26.11.07 13:41 FOR9082.TMP
ACR8270 TMP 0 26.11.07 13:40 Acr8270.TMP
ACR8266 TMP 426 26.11.07 13:40 Acr8266.TMP
UPD50C3 TMP 0 26.11.07 13:37 Upd50C3.TMP
UPD8061 TMP 0 20.11.07 14:08 Upd8061.TMP
~DF575A TMP 14.336 20.11.07 13:49 ~DF575A.TMP
~DFDA35 TMP 1.536 20.11.07 13:35 ~DFDA35.TMP
PRSETUP EXE 624.725 19.11.07 18:28 prsetup.exe
UPD8054 TMP 0 19.11.07 14:08 Upd8054.TMP
~DF6B0B TMP 1.536 18.11.07 11:56 ~DF6B0B.TMP
UPD81A0 TMP 0 18.11.07 11:56 Upd81A0.TMP
~DFEEB0 TMP 14.336 14.11.07 15:08 ~DFEEB0.TMP
~DF37B7 TMP 14.336 14.11.07 14:16 ~DF37B7.TMP
_INS5176 _MP 594.944 14.11.07 14:03 _INS5176._MP
ZDATAI51 DLL 53.760 14.11.07 14:03 ZDATAI51.DLL
_WUTL951 DLL 46.592 14.11.07 14:03 _WUTL951.DLL
UPDB0F1 TMP 0 14.11.07 13:59 UpdB0F1.TMP
UPDB0F5 TMP 0 13.11.07 13:59 UpdB0F5.TMP
RAMA296 RAM 216 13.11.07 10:42 ramA296.ram
UPD84 TMP 0 12.11.07 14:00 Upd84.TMP
UPDB100 TMP 0 12.11.07 13:59 UpdB100.TMP
~DF603C TMP 1.536 11.11.07 13:27 ~DF603C.TMP
UPDB0A5 TMP 0 11.11.07 13:27 UpdB0A5.TMP
UPD90C2 TMP 0 08.11.07 19:57 Upd90C2.TMP
UPD2184 TMP 0 07.11.07 15:18 Upd2184.TMP
UPD2A0 TMP 0 06.11.07 12:48 Upd2A0.TMP
TWAIN LOG 715 05.11.07 16:27 TWAIN.LOG
TWAIN001 MTX 4 05.11.07 16:27 Twain001.Mtx
TWUNK001 MTX 156 05.11.07 16:27 Twunk001.MTX
~DF5BB8 TMP 1.536 05.11.07 12:48 ~DF5BB8.TMP
UPD285 TMP 0 05.11.07 12:48 Upd285.TMP
UPD7330 TMP 0 31.10.07 18:23 Upd7330.TMP
~DF5928 TMP 14.336 29.10.07 20:56 ~DF5928.TMP
UPD6234 TMP 0 29.10.07 15:38 Upd6234.TMP
UPD91B3 TMP 0 24.10.07 15:25 Upd91B3.TMP
~DF5D60 TMP 14.336 23.10.07 19:47 ~DF5D60.TMP
UPD91A3 TMP 0 23.10.07 15:25 Upd91A3.TMP
UPD7123 TMP 0 22.10.07 11:39 Upd7123.TMP
UPDE264 TMP 0 18.10.07 15:14 UpdE264.TMP
UPDB026 TMP 0 17.10.07 11:43 UpdB026.TMP
H2RC076 TMP 3.088 17.10.07 10:44 h2rC076.TMP
UPDB025 TMP 0 16.10.07 11:43 UpdB025.TMP
~DF56E0 TMP 14.336 15.10.07 17:20 ~DF56E0.TMP
UPD1270 TMP 0 15.10.07 11:17 Upd1270.TMP
UPD2096 TMP 0 13.10.07 16:34 Upd2096.TMP
~DF6852 TMP 14.336 12.10.07 0:40 ~DF6852.TMP
UPD41B3 TMP 0 12.10.07 0:36 Upd41B3.TMP
~DF5990 TMP 14.336 10.10.07 22:19 ~DF5990.TMP
UPD6006 TMP 0 10.10.07 19:22 Upd6006.TMP
~EMF0469 TMP 16.661.448 09.10.07 15:58 ~EMF0469.TMP
UPD210 TMP 0 09.10.07 15:48 Upd210.TMP
~DF592D TMP 1.536 06.10.07 16:53 ~DF592D.TMP
UPD5072 TMP 0 06.10.07 16:53 Upd5072.TMP
UPD4394 TMP 0 03.10.07 14:36 Upd4394.TMP
UPD4386 TMP 0 02.10.07 14:36 Upd4386.TMP
~DF5C59 TMP 14.336 01.10.07 21:47 ~DF5C59.TMP
UPD43A3 TMP 0 01.10.07 14:37 Upd43A3.TMP
ZGI5106 TMP 21.821.504 27.09.07 10:40 ZGI5106.TMP
UPD2053 TMP 0 26.09.07 13:02 Upd2053.TMP
UPD2060 TMP 0 25.09.07 13:02 Upd2060.TMP
UPD50A5 TMP 0 24.09.07 10:21 Upd50A5.TMP
UPD201 TMP 0 20.09.07 13:16 Upd201.TMP
UPD1F6 TMP 0 19.09.07 13:16 Upd1F6.TMP
~DF190F TMP 10.752 18.09.07 20:02 ~DF190F.TMP
UPD200 TMP 0 18.09.07 13:16 Upd200.TMP
~DF7719 TMP 14.336 17.09.07 20:38 ~DF7719.TMP
UPD212 TMP 0 17.09.07 13:16 Upd212.TMP
UPD5113 TMP 0 15.09.07 11:21 Upd5113.TMP
UPD5311 TMP 0 14.09.07 8:37 Upd5311.TMP
UPD2A3 TMP 0 13.09.07 12:00 Upd2A3.TMP
UPD151 TMP 0 13.09.07 12:00 Upd151.TMP
UPD4161 TMP 0 12.09.07 20:04 Upd4161.TMP
UPD4162 TMP 0 12.09.07 20:04 Upd4162.TMP
~DF45 TMP 14.336 09.09.07 19:56 ~DF45.TMP
UPD101 TMP 0 09.09.07 18:16 Upd101.TMP
~DF60D0 TMP 14.336 07.09.07 20:43 ~DF60D0.TMP
UPD30C1 TMP 0 07.09.07 16:51 Upd30C1.TMP
~DF673E TMP 14.336 06.09.07 6:45 ~DF673E.TMP
UPD7115 TMP 0 06.09.07 6:07 Upd7115.TMP
UPD3140 TMP 0 04.09.07 20:35 Upd3140.TMP
UPD3130 TMP 0 03.09.07 20:35 Upd3130.TMP


Das ist alles was mir Dr. Web im Prüfbericht gibt:

aobutler.exe;c:\programme\arcoronline;möglicherweise BACKDOOR.Trojan;;


Ich bin ab morgen bis montag nicht an meinem PC.

Auf jeden Fall bin ich Dir sehr Dankbar für Deine Hilfe.

Gruß Bene!


Alt 07.12.2007, 15:02   #6
Chris4You
 
Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2 - Standard

Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2



Hi,

Online prüfen lassen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat:
c:\programme\arcoronline\aobutler.exe
Poste das Ergebnis...

chris
__________________
--> Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2

Alt 10.12.2007, 14:29   #7
Bene
Gast
 
Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2 - Standard

Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2



Hi,
ich hoffe ich habs richtig gemacht.
Das ist das Ergebnis:

MD5: 89d687302caf248cb7b30000ca34c2aa
Datum 2007.09.02 01:45:33 (CET) [>99D]
Ergebnisse 1/32
Permalink: resultado.html?7f177aa8673fde9a7855014da3b643b7

Viele Grüße

Bene

Alt 10.12.2007, 14:49   #8
undoreal
/// AVZ-Toolkit Guru
 
Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2 - Standard

Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2



Zitat:
ich hoffe ich habs richtig gemacht.
nope

Du musst solange warten bis oben " Status: finished " steht abwarten.. das kann einigen Minuten dauern..

Dann den Bericht abkopieren und hier posten..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 10.12.2007, 15:40   #9
Bene
Gast
 
Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2 - Standard

Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2



Hi,

ich hoffe, dass es jetzt das richtige ist.
Danke für die schnelle Antwort!

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - BACKDOOR.Trojan
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
weitere Informationen
MD5: 89d687302caf248cb7b30000ca34c2aa

Alt 10.12.2007, 21:58   #10
undoreal
/// AVZ-Toolkit Guru
 
Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2 - Standard

Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2



Das DrWeb Ergebnis würde mir bei der Vorgeschichte reichen um den Rechner neuaufzusetzten..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2
adobe, antivir, arbeitsspeicher voll, ask toolbar, bho, dateien, desktop, excel, explorer, fehlermeldung, herzlichen dank, hijack, hijack this, hijackthis, internet, internet explorer, microsoft, msn, programm, programme, registry, rundll, scan, schließen, software, system, trend micro, trojaner, windows



Ähnliche Themen: Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2


  1. Infektion mit GVU Trojaner;Trjan.0Accsess,Ransom.Gen,Delf,Dropper.BCMiner,Drop.Gs
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (3)
  2. Trojaner via ICQ erhalten // TR/Drop.Delf.gn [Trojan] (laut Avira)
    Log-Analyse und Auswertung - 11.05.2012 (9)
  3. TR/Drop.Delf.cip; TR/Drop.Delf.cio; BkCln.Unknown
    Plagegeister aller Art und deren Bekämpfung - 17.01.2009 (13)
  4. trojaner TR/Drop.Delf.czz kann jemand logfile auswerten
    Log-Analyse und Auswertung - 03.01.2008 (7)
  5. TR/Drop.Delf.AHG.2 HELP!
    Plagegeister aller Art und deren Bekämpfung - 31.10.2007 (0)
  6. Drop.Delf.MH.4.B
    Log-Analyse und Auswertung - 28.09.2007 (2)
  7. HILFE Trojaner Drop.Delf.FD.1
    Log-Analyse und Auswertung - 22.08.2007 (6)
  8. TR/Drop.delf.YZ.7 ***pls help***
    Log-Analyse und Auswertung - 26.08.2006 (4)
  9. Trojaner: drop.delf.MQ
    Plagegeister aller Art und deren Bekämpfung - 14.09.2005 (15)
  10. TR/Drop.Delf.KY.2
    Log-Analyse und Auswertung - 18.07.2005 (33)
  11. Habe den Trojaner TR/Drop.Delf.FD.1
    Plagegeister aller Art und deren Bekämpfung - 10.04.2005 (15)
  12. Trojaner Dropper.Delf.3.L
    Plagegeister aller Art und deren Bekämpfung - 28.12.2004 (11)
  13. TR/Drop.Delf.DJ.3
    Log-Analyse und Auswertung - 14.11.2004 (8)
  14. TR/Drop.Delf:DJ.3
    Plagegeister aller Art und deren Bekämpfung - 19.10.2004 (9)
  15. TR/drop.delf.dj.4 usw...
    Log-Analyse und Auswertung - 11.10.2004 (11)
  16. Tr/drop.delf.dj3
    Plagegeister aller Art und deren Bekämpfung - 23.09.2004 (3)
  17. Bitte um Hilfe:Trojaner Drop.Delf.Dj.3
    Log-Analyse und Auswertung - 11.08.2004 (2)

Zum Thema Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2 - Hallo, ich habe einen Dropper namens DR/Delf.0.1 und TR/Drop Agent AHR.2 Dies hat mir mein Virenscanner AntiVir ausgespuckt. Mein Betriebsysthem ist Windows ME. Es kommt öfters eine Fehlermeldung, in der - Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2...
Archiv
Du betrachtest: Trojaner Dropper Delf.0.1 und TR/Drop AgentAHR.2 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.