Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: BDS/Delf.oex

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.03.2009, 19:40   #1
LabtecJun
 
BDS/Delf.oex - Standard

BDS/Delf.oex



Hallo,
gerade hat mir Anti Vir folgendes gemeldet:
In der Datei 'C:\System Volume Information\_restore{E150E87E-15BC-4298-8930-BDE5C906E23E}\RP72\A0041899.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Delf.oex' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen


Hab mich schon ein bisschen umgeschaut, doch diese Datei konnte ich sonst im world wide web nicht finden.

Hier noch HijackThis Log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:09, on 13.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\HP DVD\Umbrella\DVDTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Dokumente und Einstellungen\Computer\Desktop\HiJackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [DVDTray] "C:\Programme\HP DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [DVDBitSet] "C:\Programme\HP DVD\Umbrella\DVDBitSet.exe" /NOUI
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC8EC1B5-AC82-4334-9EF3-95922E522D5F}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF953466-BE4A-4F4D-845D-36FF26D1C432}: NameServer = 192.168.0.2
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

--
End of file - 5770 bytes


Muss ich nun meiner Rechner neu aufsetzen? Wie gefährlich ist denn dieser Virus?

Danke im Voraus!



Edit:
Malwarebytes Anti Malware:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1845
Windows 5.1.2600 Service Pack 2

13.03.2009 21:27:00
mbam-log-2009-03-13 (21-26-57).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 141362
Laufzeit: 43 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Computer\Eigene Dateien\Programme\\KeyGen.exe (Malware.Tool) -> No action taken.
C:\System Volume Information\_restore{E150E87E-15BC-4298-8930-BDE5C906E23E}\RP19\A0017765.exe (Malware.Tool) -> No action taken.

Geändert von LabtecJun (13.03.2009 um 20:29 Uhr)

Alt 14.03.2009, 11:55   #2
undoreal
/// AVZ-Toolkit Guru
 
BDS/Delf.oex - Standard

BDS/Delf.oex



Halli hallo.

Die Infizierung ist sehr gefährlich da sie dem Angreifer VollZugriff auf dein System ermöglicht.
Eingefangen hast du dir das ganze weil du illegale, nicht vertrauenswürdige Programme aus dem Internt geladen und bei dir ausgeführst hast.
Zum Beispiel den im unten stehendem log aufgeführten KeyGen.


Bereinigung nach einer Kompromitierung


Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert, musst du eine Bereinigung vornehmen.
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!
Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!



Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..
  • Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
    Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
    .
  • Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
    .
  • Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
    .
  • Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
    .
  • Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
    .
  • Das aktuelle ServicePack sollte installiert sein:.
  • Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
    .
  • Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
    .
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodo o.ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Weiter Infos
    .
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
      und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
    .
  • Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
    .
    Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..
__________________

__________________

Alt 14.03.2009, 12:06   #3
LabtecJun
 
BDS/Delf.oex - Standard

BDS/Delf.oex



Als ich diese exe ausgeführt habe, kam das dabei raus:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Muss ich jetzt mein PC neu aufsetzen

Und irgendwie kann ich diese .bat Datei gar nicht ausführen


Edit:
Nun habe ich diese .bat Datei ausgeführt, dabei kam aber das gleiche wie oben raus:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
__________________

Alt 14.03.2009, 13:30   #4
undoreal
/// AVZ-Toolkit Guru
 
BDS/Delf.oex - Standard

BDS/Delf.oex



Der MBR ist sauber.

Daher kannst du ohne Probleme neuaufsetzen!
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 15.03.2009, 00:26   #5
DURAN
 
BDS/Delf.oex - Standard

BDS/Delf.oex



moin,

die meldung kam auch gestern bei mir. avira hat folgendes gefunden

.........................
In der Datei 'E:\System Volume Information\_restore{9F4C8E11-E01D-4542-84EC-8C82B7CA0D2C}\RP299\A0032595.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Delf.oex' [backdoor] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
.........................

hijackthis-log
.........................
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:51:18, on 14.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Creative\Shared Files\CTDevSrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\Creative\Software Update 3\SoftAuto.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\JMessage\jmessage\jmessage_paket\server\jms.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\SlimBrowser\sbrowser.exe
E:\DOWNLOADS\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TrayServer] C:\MAGIX\VIDEO_~1\TrayServer.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SoftAuto.exe] "C:\Programme\Creative\Software Update 3\SoftAuto.exe"
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Verknüpfung mit jms.exe.lnk = C:\JMessage\jmessage\jmessage_paket\server\jms.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTDevSrv.exe
O23 - Service: Creative Centrale Media Server (CTUPnPSv) - Creative Technology Ltd - C:\Programme\Creative\Creative Centrale\CTUPnPSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 10035 bytes
........................


mbam-log
.......................
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1848
Windows 5.1.2600 Service Pack 3

14.03.2009 12:23:34
mbam-log-2009-03-14 (12-23-34).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 210739
Laufzeit: 1 hour(s), 12 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
........................

mbr-log
.......................
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
.......................

hab auch mal in System Volume Information von der E: reingeschaut unter
_restore{9F4C8E11-E01D-4542-84EC-8C82B7CA0D2C} RP299

und die change.logs.2 (geändert 13.03.2009 00.32) als .txt im editor anzeigen lassen. da kam u.a. folgendes raus

............................
 ïÍ« ì  \ D e v i c e \ H a r d d i s k V o l u m e 2 \ S y s t e m V o l u m e I n f o r m a t i o n \ _ r e s t o r e { 9 F 4 C 8 E 1 1 - E 0 1 D - 4 5 4 2 - 8 4 E C - 8 C 8 2 B 7 C A 0 D 2 C } \ R P 2 9 9 \ c h a n g e . l o g    ïÍ«  &Ü ˆ  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c l C a p t c h a \ c l C a p t c h a . b a t "  A 0 0 3 2 5 9 4 . b a t    € 0 L   Ûë Pø`#_ckë   Ûë Pø`#_ck  p   ÿ     ÿ   $ ÿ   Ûë Pø`#_ckë  ©    ! t l o a d \ o c r \ n e t l o a d . i n \ u p d a t e . i n f " C L C A P T ~ 1 . B A T    ïÍ«  'Ü ˆ  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c l C a p t c h a \ c l C a p t c h a . e x e "  A 0 0 3 2 5 9 5 . e x e    € 0 L   Ûë Pø`#_ckë   Ûë Pø`#_ck  p   ÿ     ÿ   $ ÿ   Ûë Pø`#_ckë  ©    ! b l i c K e y T o k e n = 9 0 b a 9 c 7 0 f 8 4 6 7 6 2 e ! NtFC" C L C A P T ~ 1 . E X E  Ò  ïÍ«    (Ü l  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c l C a p t c h a    € 0 L   Ûë Pø`#_ckë   Ûë Pø`#_ck  ´   ÿ     ÿ   $ ÿ   Ûë Pø`#_ckë     ©    !     !     !  C L C A P T ~ 1 Ò ú  ïÍ«  )Ü n  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ u p d a t e . i n f "  A 0 0 3 2 5 9 6 . i n f    € 0 L   Ûë Pø`#_ckë   Ûë Pø`#_ck  p   ÿ     ÿ   $ ÿ   Ûë Pø`#_ckë  ©    !  ConfigFlags CMVaUãvk
p ü=   r HardwareIDö n n  u p d a t e . i n f ú ´  ïÍ« ÿÿÿÿ*Ü p  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ C a p . e x e ´ Æ  ïÍ« # +Ü ‚  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ C a p \ C a p . e x e . m a n i f e s t Æ   ïÍ«  € ,Ü ‚  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ C a p . e x e . m a n i f e s t ,  A 0 0 3 2 5 9 7 . m a n i f e s t    € 0 L   Ûë Pø`#_ckë   Ûë Pø`#_ck  p   ÿ     ÿ   $ ÿ   Ûë Pø`#_ckë  ©    ! t l o a d \ o c r \ n e t l o a d . i n \ u p d a t e . i n f " C A P E X E ~ 1 . M A N  ¾  ïÍ«€ ÿÿÿÿ-Ü z  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ C a p \ C a p L e t t e r s M U ¾ ¾  ïÍ«  .Ü z  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ C a p \ C a p L e t t e r s M U ¾ ¸  ïÍ« ÿÿÿÿ/Ü t  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ c a p M U . i n i ¸ ¼  ïÍ« ÿÿÿÿ0Ü x  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ c o n v e r t . e x e ¼   ïÍ« ÿÿÿÿ1Ü ~  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ F i n e O C R _ M U . b a t  ¤  ïÍ«  2Ü `  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ C a p ¤ œ  ïÍ«  3Ü X  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m œ ²  ïÍ« ÿÿÿÿ4Ü n  \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ u p d a t e . i n f ²   ïÍ«   Ü   \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ d e s k t o p . i n i "  A 0 0 3 2 6 1 9 . i n i    € 0 L   Ûë Pø`#_ckë   Ûë Pø`#_ck  X  $ ÿ   Ûë Pø`#_ckë  ÿ    ÿ    4 0 - 5 0 8 1 - 1 0 1 B - 9 F 0 8 - 0 0 A A 0 0 2 F 9 5 4 E } \ S h e l l F o l d e r d e s k t o p . i n i  Ô  ïÍ« ÿÿÿÿŽÜ   \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ d e s k t o p . i n i Ô ¼  ïÍ«  Ü x  \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 ¼ `  ïÍ«  Ü   \ R E C Y C L E R ` p  ïÍ«€ ÿÿÿÿ•Ü ,  \ M y M o v i e s \ M a r l e y p Ä  ïÍ«€ ÿÿÿÿ–Ü €  \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s Ä ê  ïÍ« ÿÿÿÿ—Ü ¦  \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ p l - m a r l e y _ x v i d . n f o ê Ì  ïÍ«€ ÿÿÿÿ™Ü ˆ  \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 2 Ì Ì  ïÍ«€ ÿÿÿÿ›Ü ˆ  \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 1 Ì X  ïÍ«   ÿÿÿÿ£Ü €  \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s r  \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s " M A R L E Y ~ 1 . X V I X Æ  ïÍ«  ÿÿÿÿ¤Ü z  \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 1    € 0 L   Ûë Pø`#_ckë   Ûë Pø`#_ck  ´   ÿ     ÿ   $ ÿ   Ûë Pø`#_ckë     ©    !     !     ! Æ Æ  ïÍ«  ÿÿÿÿ¥Ü z  \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 2    € 0 L   Ûë Pø`#_ckë   Ûë Pø`#_ck  ´   ÿ     ÿ   $ ÿ   Ûë Pø`#_ckë     ©    !     !     ! Æ ä  ïÍ«  ÿÿÿÿ¦Ü ˜  \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ p l - m a r l e y _ x v i d . n f o    € 0 L   Ûë Pø`#_ckë   Ûë Pø`#_ck  p   ÿ     ÿ   $ ÿ   Ûë Pø`#_ckë  ©    ! . W i n d o w s . C o m m o n - C o n t r o l s . m u i . D L L C ä ¾  ïÍ«  ÿÿÿÿ§Ü r  \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s    € 0 L   Ûë Pø`#_ckë   Ûë Pø`#_ck  ´   ÿ     ÿ   $ ÿ   Ûë Pø`#_ckë     ©    !     !     ! ¾   ïÍ«   ÿÿÿÿ¨Ü ,  \ M y M o v i e s \ M a r l e y €  \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 1  M a r l e y  N  ïÍ«   ÿÿÿÿ©Ü z  \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 1 €  \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 2  C D 1 N N  ïÍ«   ÿÿÿÿªÜ z  \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 2 €  \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 3  C D 2 N Ô  ïÍ« ÿÿÿÿ*Ü   \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ d e s k t o p . i n i Ô Ü  ïÍ«    ®Ü €  \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 3    „ 0 L   Ûë Pø`#_ckë   Ûë Pø`#_ck  ´   ÿ     ÿ   $ ÿ   Ûë Pø`#_ckë     ©    !     !     !  D e 3 Ü Ü  ïÍ«    ¯Ü €  \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 2    „ 0 L   Ûë Pø`#_ckë   Ûë Pø`#_ck  ´   ÿ     ÿ   $ ÿ   Ûë Pø`#_ckë     ©    !     !     !  D e 2 Ü Ü  ïÍ«    °Ü €  \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 1    € 0 L   Ûë Pø`#_ckë   Ûë Pø`#_ck  ´   ÿ     ÿ   $ ÿ   Ûë Pø`#_ckë     ©    !     !     !  D e 1 Ü Ô  ïÍ« ÿÿÿÿ±Ü   \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ d e s k t o p . i n i Ô
.........................

da taucht auch die infizierte .exe A0032595 wieder auf.

da antivir erst am 14.03.2009 00.03 gemeckert hatte, könnte es etwas mit cryptload zu tun haben?

und kann sich das backdoor woanders noch eingenistet haben, obwohl es
in quarantäne verschoben wurde und gelöscht werden kann?

möchte eigentlich ein "plattmachen" umgehen.

PS: hab den film tags zuvor "original" im kino geschaut ;-)

danke und gruß

DURAN


Alt 15.03.2009, 08:59   #6
Ghost1975
 
BDS/Delf.oex - Standard

BDS/Delf.oex



Hallo DURAN


Zitat:
möchte eigentlich ein "plattmachen" umgehen.
Wenn einer der Kompetenzler sowas sagt

Zitat:
Die Infizierung ist sehr gefährlich da sie dem Angreifer VollZugriff auf dein System ermöglicht.
und dann ne Formatierung Vorschlägt solltest du Dich dran helfen,wer weiß was auf deinem Rechner alles drauf ist und bereits geändert wurde.
Ist die einzige Möglichkeit für deinen Rechner sauber zu werden!

SP3 solltest du nach der Formatierung und Neuinstalation auch installieren+alle weiteren Updates

Alt 15.03.2009, 13:30   #7
CoNfIcK3R
 
BDS/Delf.oex - Standard

BDS/Delf.oex



bei mir kam am Freitag auch die gleiche Meldung bei Antivir mit dem BDS/Delf.oex.

Leider war ich zu dem Zeitpunkt bei dem die Meldung kam nicht am PC und konnte ihn nicht gleich in Quarantäne schicken erst so 2-3 Stunden später, wie ist das eigentlich, blockt antivir den Virus bis man eine Option ausgewählt hat oder konnte der Angreifer in den 2-3 Stunden machen was er wollte?

Hab ihn dann auch in Quarantäne gestellt und das Netzwerkabel zum Router gezogen.
Danach hab ich die mbr.exe von GMER ausgeführt, dabei kam dann das raus
Zitat:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
daraus schließe ich mal, dass der MBR sauber ist.
Jetzt schrieb Undoreal
Zitat:
Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!
Nun möchte ich mein System neu aufsetzen, das Problem ist halt, dass ich noch ca. 100 GB Dateien auf dem Rechner habe, die ich auf jeden Fall behalten möchte, darunter sind natürlich auch ausführbare Dateien dabei.

Mit welchem Programm kann ich denn die Dateien durchsuchen lassen um sicherzugehen, dass ich nichts verseuchtes auf mein neues System rüberziehe??????

Alt 15.03.2009, 14:23   #8
undoreal
/// AVZ-Toolkit Guru
 
BDS/Delf.oex - Standard

BDS/Delf.oex



AntiVir blockt die Dateien bis du auswählst was getan werden soll.

Allerdings ist das ziemlich egal denn der Angreifer hat schon Zugriff auf dein System.

Wie du die Dateien sichern kannst habe ich weiter unten ebenfalls gepostet.

Was für ausführbaren Dateien sind das denn? Denn eigentlich solltest du ja alle Programme entweder auf CD haben oder es gibt sie sowieso frei im Internet.
Daher sollte man eigentlich keine ausführbare Dateien sichern müssen..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 15.03.2009, 14:40   #9
CoNfIcK3R
 
BDS/Delf.oex - Standard

BDS/Delf.oex



Den eScan muss ich ja vor dem Einsatz erst aktualisieren, aber ich darf ja nicht mit einem kompromitiertem System eine Internetverbindung aufbauen wie mach ich das dann??

Alt 15.03.2009, 15:29   #10
muha123
 
BDS/Delf.oex - Standard

BDS/Delf.oex



Hallo,

also ich hab genau das gleiche Problem! Könnten mal alle beteiligten hier mitteilen ob sie cryptload verwendet haben? Ich bin nämlich beim googlen unter anderem auch auf folgenden link gestoßen: http://cryptload.info/forum/showthread.php?p=28945
Zeitlich würde das Update ja anscheinend bei allen beteiligten reinpassen, auch in nem anderem Forum hab ich bereits gelesen das es von Cryptload kommen soll. Allerdings ist die Datei eben bei mir auch im selben Verzeichnis wie bei den anderen hier aufgetaucht und nicht im Cryptload Verzeichnis.

Alt 15.03.2009, 15:39   #11
DURAN
 
BDS/Delf.oex - Standard

BDS/Delf.oex



Zitat:
Zitat von muha123 Beitrag anzeigen
Hallo,

also ich hab genau das gleiche Problem! Könnten mal alle beteiligten hier mitteilen ob sie cryptload verwendet haben? Ich bin nämlich beim googlen unter anderem auch auf folgenden link gestoßen: http://cryptload.info/forum/showthread.php?p=28945
Zeitlich würde das Update ja anscheinend bei allen beteiligten reinpassen, auch in nem anderem Forum hab ich bereits gelesen das es von Cryptload kommen soll. Allerdings ist die Datei eben bei mir auch im selben Verzeichnis wie bei den anderen hier aufgetaucht und nicht im Cryptload Verzeichnis.
danke für den link. würde ja passen (s. mein post)

gruß

Alt 15.03.2009, 16:22   #12
CoNfIcK3R
 
BDS/Delf.oex - Standard

BDS/Delf.oex



also ich benutze auch cryptload aber bei mir war die Datei halt auch im Ordner "System Volume Information" darum weiß ich jetzt nicht ob das nur ein Fehlalarm war oder ob mein System doch infiziert ist..

Alt 15.03.2009, 17:03   #13
muha123
 
BDS/Delf.oex - Standard

BDS/Delf.oex



Also ich hab nun mit sämtlichen Programmen gescannt nachdem ich die Datei gelöscht hatte. Weder hijack this, antivir oder antispyware haben irgendwas entdeckt. Von daher werd ichs jetzt mal dabei belassen.

Alt 17.03.2009, 14:02   #14
Eastside
 
BDS/Delf.oex - Standard

BDS/Delf.oex



selbes Problem, auch Cryptload User.
Hatte allerdings das Programm nicht geöffnet als die Meldung kam.

Hoffe mal die Jungs aus dem Cryptload Forum haben Recht

Alt 17.03.2009, 14:23   #15
Angel21
 
BDS/Delf.oex - Standard

BDS/Delf.oex



Im Endeffekt man man nichts und niemandem mehr wirklich trauen, also seid dennoch auf der Hut.


Sry, für den Satz, aber der ist mehr als Wahr was das Internet betrifft ^^
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Antwort

Themen zu BDS/Delf.oex
adobe, anti malware, antivir, antivirus, avira, backdoor, bho, computer, desktop, dll, einstellungen, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, malware.tool, mozilla, neu aufsetzen, nvidia, programm, registrierungsschlüssel, rundll, symantec, system, virus, windows, windows xp



Ähnliche Themen: BDS/Delf.oex


  1. TR/PSW.Delf.est
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (1)
  2. Delf.NHC
    Log-Analyse und Auswertung - 01.06.2009 (0)
  3. TR/PSW.Delf.AB
    Plagegeister aller Art und deren Bekämpfung - 15.04.2009 (1)
  4. TR/PSW.Delf.AB
    Log-Analyse und Auswertung - 15.04.2009 (1)
  5. Trojaner delf.bma
    Log-Analyse und Auswertung - 09.02.2009 (0)
  6. TR/Drop.Delf.cip; TR/Drop.Delf.cio; BkCln.Unknown
    Plagegeister aller Art und deren Bekämpfung - 17.01.2009 (13)
  7. Win32.Delf.qmw?
    Log-Analyse und Auswertung - 12.01.2009 (1)
  8. TR/Spy.Delf.cdp
    Plagegeister aller Art und deren Bekämpfung - 09.06.2008 (9)
  9. TR/Spy.Delf.cfr - was ist das?
    Plagegeister aller Art und deren Bekämpfung - 26.05.2008 (0)
  10. BDS/Delf.DHU.1
    Mülltonne - 03.04.2008 (0)
  11. Spy.Delf.ago.1
    Log-Analyse und Auswertung - 27.09.2007 (12)
  12. TR/rop.Delf.aej92
    Log-Analyse und Auswertung - 27.09.2007 (15)
  13. drj/delf
    Mülltonne - 10.06.2006 (1)
  14. TR/Delf.PX.1 ???
    Plagegeister aller Art und deren Bekämpfung - 02.05.2006 (6)
  15. win32.delf.h
    Plagegeister aller Art und deren Bekämpfung - 14.09.2005 (2)
  16. Dropper.Delf.3.L
    Log-Analyse und Auswertung - 28.12.2004 (5)
  17. TR/delf.DY
    Plagegeister aller Art und deren Bekämpfung - 13.09.2004 (21)

Zum Thema BDS/Delf.oex - Hallo, gerade hat mir Anti Vir folgendes gemeldet: In der Datei 'C:\System Volume Information\_restore{E150E87E-15BC-4298-8930-BDE5C906E23E}\RP72\A0041899.exe' wurde ein Virus oder unerwünschtes Programm 'BDS/Delf.oex' [backdoor] gefunden. Ausgeführte Aktion: Datei löschen Hab mich schon - BDS/Delf.oex...
Archiv
Du betrachtest: BDS/Delf.oex auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.