Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.03.2008, 10:41   #1
lm089
 
Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? - Standard

Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?



Hallo,
ich sitz grad am PC meines Schwagers ("der Rechner macht so komische Sachen... könntest du bitte mal schauen?"). Da kam immer in kurzen Abständen eine Windows-Fehlermeldung, dass eine Datei nicht gelöscht werden könne - ohne Angabe, um welche Datei es sich handelt.
Virenscanner aktualisiert (der arme Mann hat kein DSL oder so, dauert alles ewig), und tatsächlich wurde dieser Trojaner gefunden und entfernt: TR/Dldr.Delf.edl

Dann hab ich zur SIcherheit nochmal nachgeforscht und u.a. den Hinweis auf HijackThis gefunden. Das gibt mir unten stehendes Protokoll aus: Wäre nett, wenn da mal jemand drüber schauen könnte, ob noch irgendwas verdächtiges zu finden ist. Besten Dank schonmal,

-Lothar

------------------
Logfile of HijackThis v1.99.1
Scan saved at 11:20:16, on 23.03.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
c:\dos\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\WINNT\System32\WScript.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\0190 Warner\Warn0190.exe
C:\Programme\Discountsurfer\discountsurfer.exe
C:\WINNT\slrundll.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144957370177
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9949163B-9CE2-4BE0-8966-0C9149273F7D}: NameServer = 195.50.140.114 145.253.2.203
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Remote Procedure Call (RPC) Remote (RpcRemote) - Unknown owner - C:\WINNT\system32\remote.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
O23 - Service: Window Event Server (windowneters) - Unknown owner - c:\Recycled\svchost.exe (file missing)
O23 - Service: NVIDIA Display Drivers (WyDNS) - Unknown owner - c:\dos\svchost.exe

Alt 23.03.2008, 11:13   #2
nochdigger
 
Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? - Standard

Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?



Hallo

könnt ihr alle versteckten Dateien und Ordner sehen?

Diese Dateien
Zitat:
c:\dos\svchost.exe
C:\WINNT\system32\remote.exe
c:\Recycled\svchost.exe
bitte hier Virustotal, hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218)
oder hier Jotti überprüfen lassen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde.

MFG
__________________


Alt 24.03.2008, 08:36   #3
lm089
 
Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? - Standard

Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?



Guten Morgen,

Zitat:
Zitat von nochdigger Beitrag anzeigen
könnt ihr alle versteckten Dateien und Ordner sehen?
Ja, ist alles auf sichtbar eingestellt. Die Files

C:\WINNT\system32\remote.exe
c:\Recycled\svchost.exe

sind tatsächlich nicht mehr da, auch eine Suche nach remote.exe brachte kein Ergebnis.

Das File

c:\dos\svchost.exe

hab ich zu VirusTotal hochgeladen. Ergebnis:
================
Datei svchost.exe empfangen 2008.03.24 09:19:48 (CET)

Ergebnis: 6/31 (19.36%)

AhnLab-V3 2008.3.22.1 2008.03.24 -
AntiVir 7.6.0.75 2008.03.23 -
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.23 -
AVG 7.5.0.516 2008.03.23 -
BitDefender 7.2 2008.03.24 BehavesLike:Win32.Malware
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV 0.92.1 2008.03.24 -
DrWeb 4.44.0.09170 2008.03.23 Trojan.DownLoader.origin
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.23 -
F-Prot 4.4.2.54 2008.03.23 -
F-Secure 6.70.13260.0 2008.03.24 -
FileAdvisor 1 2008.03.24 -
Fortinet 3.14.0.0 2008.03.24 -
Ikarus T3.1.1.20 2008.03.24 BehavesLikeWin32.Malware
Kaspersky 7.0.0.125 2008.03.24 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.24 -
NOD32v2 2968 2008.03.24 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.23 Suspicious file
Prevx1 V2 2008.03.24 Heuristic: Suspicious File With Outbound Communications
Rising 20.36.62.00 2008.03.23 -
Sophos 4.27.0 2008.03.24 Mal/Behav-053
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.24 -
TheHacker 6.2.92.252 2008.03.22 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.23 -
Webwasher-Gateway 6.6.2 2008.03.24 -
weitere Informationen
File size: 202752 bytes
MD5: b621186df540ca4e723b59fa55ccf3a4
SHA1: 9df62e5b417bf91f67630cccf47f6054ab4a24b8
PEiD: -
packers: UPX
packers: UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5A74011700A10E63183803F8C128BB00B6AB97C4

==========================
Ich werd jetzt mal versuchen, die Datei unschädlich zu machen, notfalls löschen., da mein Besuch hier heute zu Ende ist und ich meinen Schwager nicht mit einem Virus alleine lassen möchte. Besten Dank auf jeden Fall schonmal für Deine Hilfe.

Grüße,
-Lothar
__________________

Alt 24.03.2008, 09:34   #4
lm089
 
Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? - Standard

Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?



Nachtrag:

ich habe jetzt die entsprechenden Dienste in der Services-Liste deaktiviert, dann in der Registry gesucht und dort rausgeworfen (die Dateien waren ja eh schon weg). Diese lästigen Fehlermeldungen ("Datei kann nicht gelöscht werden...") scheinen jetzt auch nicht mehr zu kommen.

Bei den Services ist mir dabei noch einer mit sehr abstrusem Namen aufgefallen:

"P1ug and P1ay" (ja, eine EINS anstelle des kleinen L). Dazu eine Beschreibung in unleserlichem Kauderwelsch, keine Dateiangabe dazu.

In der Registry gab es dazu einen Service-Eintrag, den ich auch löschen könnte. Außerdem gibt es dort aber auch noch einen Eintrag, den ich nicht entfernen kann, auch im abgesicherten Modus nicht.

Unter HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\root\ (analog unter ..\ControlSet002\..) gibt es den Schlüssel

LEGACY_P1UGP1AY mit Wert "NextInstance = 1"
Darunter in Subschlüssel "0000" mit den Werten
Class = LegacyDriver
ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
ConfigFlags = 0
DeviceDesc = P1ug and P1ay
Legacy = 1
Service = P1ugP1ay

Die Suche nach der Klasse {8ECC055D-047F-11D1-A537-0000F8753ED1} bringt Folgendes:

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{Schlüssel}:

Class = LegacyDriver
EnumPropPages32 = SysSetup.Dll,LegacyDriverPropPageProvider
Icon = -19
NoDisplayClass = 1
NoInstallClass = 1
SilentInstall = 1

Frage 1: sagt das jemandem etwas?
Frage 2: müssen wir uns Sorgen machen? Ich meine, der Service selbst ist ja jetzt erstmal weg...
Frage 3: warum kann ich den Schlüssel und seine Unterelemente nicht entfernen?


Wenn Ihr mir Frage 2 mit NEIN beantwortet bin ich im Grunde natürlich schon zufrieden...

Schöne Rest-Ostern,

-Lothar

Alt 24.03.2008, 17:28   #5
Vista_User
 
Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? - Standard

Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?



Lass das bitte bei www.virustotal.com prüfen und poste uns das Ergebnis:

c:\dos\svchost.exe


Alt 25.03.2008, 08:53   #6
blow-in
 
Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? - Standard

Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?



Zitat:
Zitat von Vista_User Beitrag anzeigen
Lass das bitte bei www.virustotal.com prüfen
Ist doch bereits erledigt (Post3)
Die svchost.exe im Recycled-Ordner deute auf Papierkorbeintrag. Vieleicht mal den Papierkorb leeren.
das die C:\WINNT\system32\remote.exe (file missing) als solche angezeigt wird, ist wiederum kein gutes Zeichen.
Könnte von einem Rootkid versteckt sein.
Den Rechner mal mit F-Secure scannen lassen.

Alt 25.03.2008, 20:21   #7
lm089
 
Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? - Standard

Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?



Zitat:
Zitat von blow-in Beitrag anzeigen
Ist doch bereits erledigt (Post3)
Eben
Zitat:
Zitat von blow-in Beitrag anzeigen
Die svchost.exe im Recycled-Ordner deute auf Papierkorbeintrag.
Nein, das ist auf dem Rechner der Name des Quarantäne-Ordners für Antivir; keine Ahnung, warum der so heißt.
Zitat:
Zitat von blow-in Beitrag anzeigen
das die C:\WINNT\system32\remote.exe (file missing) als solche angezeigt wird, ist wiederum kein gutes Zeichen.
Könnte von einem Rootkid versteckt sein.
Den Rechner mal mit F-Secure scannen lassen.
Ja, das könnte natürlich sein. Dummerweise hab ich den Rechner jetzt nicht mehr im Zugriff, der steht 250 km von mir entfernt im tiefsten Bayerischen Wald - kein DSL (gibts da noch nicht), also auch kein Remote-Access und so. Die nächste Untersuchung muss wohl bis zu den Pfingstferien warten. Hoffen wir das Beste, dass bis dahin nichts Schlimmes passiert Er hat mir hoch und heilig versprochen, den Rechner derweilen nicht mehr für Homebanking etc. zu nutzen.

Nochmal besten Dank für Eure Hilfe

Antwort

Themen zu Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?
adobe, agent, antivir, avira, bho, boot, button, drivers, dsl, explorer, gelöscht, handel, hijack, hijackthis, internet, internet explorer, links, micro, nvidia, programme, scan, sicherheit, software, system, system32, trojaner, trojaner gefunden, update



Ähnliche Themen: Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?


  1. Trojaner TR/Dldr.Delf.1053840.3 von Avira gefunden
    Log-Analyse und Auswertung - 10.07.2015 (9)
  2. "TR/Dldr.Agent.1169920.4 in c:\windows\temp\db22.exe" & "ADWARE\InstallCore.771128 in c:\Users\Julian\Downloads\openal-2.0.7.0.exe"
    Plagegeister aller Art und deren Bekämpfung - 26.01.2015 (9)
  3. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  4. Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (77)
  5. Delta-Search wirklich einschließlich aller eventuellen "Nebenwirkungen" entfernt?
    Plagegeister aller Art und deren Bekämpfung - 30.05.2013 (10)
  6. Gerade GVU Trojaner mit Webcam "gehabt", ist es wirklich dank Malewarebytes weg? Wo ist die "Lücke"?
    Plagegeister aller Art und deren Bekämpfung - 10.08.2012 (23)
  7. Verschlüsselungs Trojaner "Trojan.Inject1.2545" Wirklich gelöscht?
    Log-Analyse und Auswertung - 04.05.2012 (5)
  8. Startseite fehlerhaft, stets "NatWest" (www.nwolb.com) Trojaner "Trojan.ZBotR.Gen" gefunden
    Log-Analyse und Auswertung - 02.04.2012 (28)
  9. Trojaner "appconf32.exe" und "Trojan.Banker" gefunden
    Log-Analyse und Auswertung - 11.01.2012 (7)
  10. Bundespolizei Trojaner mit option "früheren Zustand wiederherstellen" wirklich alles weg?
    Log-Analyse und Auswertung - 24.12.2011 (2)
  11. Trojaner "System Repair" in Windows Vista wirklich entfernt?
    Log-Analyse und Auswertung - 18.12.2011 (82)
  12. "Malware Protection" entfernt und nun "Windows Vista Restore" und diverse Festplattenwarnungen
    Plagegeister aller Art und deren Bekämpfung - 17.06.2011 (28)
  13. "Antivir Solution Pro" wirklich entfernt?
    Log-Analyse und Auswertung - 23.07.2010 (4)
  14. 3 Trojaner! "TR/Renos.214528", "TR/Dldr.Zlob.caz" und "TR/Dldr.Zlob.cay"
    Plagegeister aller Art und deren Bekämpfung - 30.04.2010 (12)
  15. Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?
    Plagegeister aller Art und deren Bekämpfung - 16.11.2008 (56)
  16. Trojaner TR/Dldr.Delf.gmg.1 gefunden/gelöscht noch vorhanden?
    Log-Analyse und Auswertung - 20.04.2008 (1)
  17. Trojaner: "TR/proxy.delf.CA"
    Log-Analyse und Auswertung - 06.06.2007 (2)

Zum Thema Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? - Hallo, ich sitz grad am PC meines Schwagers ("der Rechner macht so komische Sachen... könntest du bitte mal schauen?"). Da kam immer in kurzen Abständen eine Windows-Fehlermeldung, dass eine Datei - Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?...
Archiv
Du betrachtest: Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.