BDS/Delf.oex

LabtecJun · 13.03.2009, 20:40

Hallo,
gerade hat mir Anti Vir folgendes gemeldet:
In der Datei 'C:\System Volume Information\_restore{E150E87E-15BC-4298-8930-BDE5C906E23E}\RP72\A0041899.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Delf.oex' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen

Hab mich schon ein bisschen umgeschaut, doch diese Datei konnte ich sonst im world wide web nicht finden.

Hier noch HijackThis Log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:09, on 13.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\HP DVD\Umbrella\DVDTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Dokumente und Einstellungen\Computer\Desktop\HiJackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [DVDTray] "C:\Programme\HP DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [DVDBitSet] "C:\Programme\HP DVD\Umbrella\DVDBitSet.exe" /NOUI
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC8EC1B5-AC82-4334-9EF3-95922E522D5F}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF953466-BE4A-4F4D-845D-36FF26D1C432}: NameServer = 192.168.0.2
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

--
End of file - 5770 bytes

Muss ich nun meiner Rechner neu aufsetzen? Wie gefährlich ist denn dieser Virus?

Danke im Voraus!

Edit:
Malwarebytes Anti Malware:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1845
Windows 5.1.2600 Service Pack 2

13.03.2009 21:27:00
mbam-log-2009-03-13 (21-26-57).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 141362
Laufzeit: 43 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Computer\Eigene Dateien\Programme\\KeyGen.exe (Malware.Tool) -> No action taken.
C:\System Volume Information\_restore{E150E87E-15BC-4298-8930-BDE5C906E23E}\RP19\A0017765.exe (Malware.Tool) -> No action taken.

undoreal · 14.03.2009, 12:55

Halli hallo.

Die Infizierung ist sehr gefährlich da sie dem Angreifer VollZugriff auf dein System ermöglicht.
Eingefangen hast du dir das ganze weil du illegale, nicht vertrauenswürdige Programme aus dem Internt geladen und bei dir ausgeführst hast.
Zum Beispiel den im unten stehendem log aufgeführten KeyGen.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
.
Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
.
Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
.
Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
.
Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
.
Das aktuelle ServicePack sollte installiert sein:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
.
Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
.
Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
  Vista_Firewall punktgenau konfigurieren
.
Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodo o.ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Weiter Infos
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
- Sicherheit: -> höchste Stufe
  Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
  und Installation von Desktopobj. -> "Bestätigen".
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
.
Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
.
Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

LabtecJun · 14.03.2009, 13:06

Als ich diese exe ausgeführt habe, kam das dabei raus:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Muss ich jetzt mein PC neu aufsetzen

Und irgendwie kann ich diese .bat Datei gar nicht ausführen

Edit:
Nun habe ich diese .bat Datei ausgeführt, dabei kam aber das gleiche wie oben raus:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

undoreal · 14.03.2009, 14:30

Der MBR ist sauber.

Daher kannst du ohne Probleme neuaufsetzen!

DURAN · 15.03.2009, 01:26

moin,

die meldung kam auch gestern bei mir. avira hat folgendes gefunden

.........................
In der Datei 'E:\System Volume Information\_restore{9F4C8E11-E01D-4542-84EC-8C82B7CA0D2C}\RP299\A0032595.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Delf.oex' [backdoor] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
.........................

hijackthis-log
.........................
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:51:18, on 14.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Creative\Shared Files\CTDevSrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\Creative\Software Update 3\SoftAuto.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\JMessage\jmessage\jmessage_paket\server\jms.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\SlimBrowser\sbrowser.exe
E:\DOWNLOADS\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TrayServer] C:\MAGIX\VIDEO_~1\TrayServer.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SoftAuto.exe] "C:\Programme\Creative\Software Update 3\SoftAuto.exe"
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Verknüpfung mit jms.exe.lnk = C:\JMessage\jmessage\jmessage_paket\server\jms.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTDevSrv.exe
O23 - Service: Creative Centrale Media Server (CTUPnPSv) - Creative Technology Ltd - C:\Programme\Creative\Creative Centrale\CTUPnPSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 10035 bytes
........................

mbam-log
.......................
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1848
Windows 5.1.2600 Service Pack 3

14.03.2009 12:23:34
mbam-log-2009-03-14 (12-23-34).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 210739
Laufzeit: 1 hour(s), 12 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
........................

mbr-log
.......................
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
.......................

hab auch mal in System Volume Information von der E: reingeschaut unter
_restore{9F4C8E11-E01D-4542-84EC-8C82B7CA0D2C} RP299

und die change.logs.2 (geändert 13.03.2009 00.32) als .txt im editor anzeigen lassen. da kam u.a. folgendes raus

............................
ïÍ« ì \ D e v i c e \ H a r d d i s k V o l u m e 2 \ S y s t e m V o l u m e I n f o r m a t i o n \ _ r e s t o r e { 9 F 4 C 8 E 1 1 - E 0 1 D - 4 5 4 2 - 8 4 E C - 8 C 8 2 B 7 C A 0 D 2 C } \ R P 2 9 9 \ c h a n g e . l o g ïÍ« &Ü ˆ \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c l C a p t c h a \ c l C a p t c h a . b a t " A 0 0 3 2 5 9 4 . b a t € 0 L ÛëPø`#_ckë ÛëPø`#_ck p ÿ ÿ $ ÿ ÛëPø`#_ckë © ! t l o a d \ o c r \ n e t l o a d . i n \ u p d a t e . i n f " C L C A P T ~ 1 . B A T ïÍ« 'Ü ˆ \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c l C a p t c h a \ c l C a p t c h a . e x e " A 0 0 3 2 5 9 5 . e x e € 0 L ÛëPø`#_ckë ÛëPø`#_ck p ÿ ÿ $ ÿ ÛëPø`#_ckë © ! b l i c K e y T o k e n = 9 0 b a 9 c 7 0 f 8 4 6 7 6 2 e ! NtFC" C L C A P T ~ 1 . E X E Ò ïÍ« (Ü l \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c l C a p t c h a € 0 L ÛëPø`#_ckë ÛëPø`#_ck ´ ÿ ÿ $ ÿ ÛëPø`#_ckë © ! ! ! C L C A P T ~ 1 Ò ú ïÍ« )Ü n \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ u p d a t e . i n f " A 0 0 3 2 5 9 6 . i n f € 0 L ÛëPø`#_ckë ÛëPø`#_ck p ÿ ÿ $ ÿ ÛëPø`#_ckë © ! ConfigFlags CMVaUãvk
p ü= r HardwareIDö n n u p d a t e . i n f ú ´ ïÍ« ÿÿÿÿ*Ü p \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ C a p . e x e ´ Æ ïÍ« # +Ü ‚ \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ C a p \ C a p . e x e . m a n i f e s t Æ ïÍ« € ,Ü ‚ \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ C a p . e x e . m a n i f e s t , A 0 0 3 2 5 9 7 . m a n i f e s t € 0 L ÛëPø`#_ckë ÛëPø`#_ck p ÿ ÿ $ ÿ ÛëPø`#_ckë © ! t l o a d \ o c r \ n e t l o a d . i n \ u p d a t e . i n f " C A P E X E ~ 1 . M A N ¾ ïÍ«€ ÿÿÿÿ-Ü z \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ C a p \ C a p L e t t e r s M U ¾ ¾ ïÍ« .Ü z \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ C a p \ C a p L e t t e r s M U ¾ ¸ ïÍ« ÿÿÿÿ/Ü t \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ c a p M U . i n i ¸ ¼ ïÍ« ÿÿÿÿ0Ü x \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ c o n v e r t . e x e ¼ Â ïÍ« ÿÿÿÿ1Ü ~ \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ c a p \ F i n e O C R _ M U . b a t Â ¤ ïÍ« 2Ü ` \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ C a p ¤ œ ïÍ« 3Ü X \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m œ ² ïÍ« ÿÿÿÿ4Ü n \ D O W N L O A D S \ c r y p t l o a d \ o c r \ m e g a u p l o a d . c o m \ u p d a t e . i n f ² ïÍ« Ü \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ d e s k t o p . i n i " A 0 0 3 2 6 1 9 . i n i € 0 L ÛëPø`#_ckë ÛëPø`#_ck X $ ÿ ÛëPø`#_ckë ÿ ÿ 4 0 - 5 0 8 1 - 1 0 1 B - 9 F 0 8 - 0 0 A A 0 0 2 F 9 5 4 E } \ S h e l l F o l d e r d e s k t o p . i n i Ô ïÍ« ÿÿÿÿŽÜ \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ d e s k t o p . i n i Ô ¼ ïÍ« Ü x \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 ¼ ` ïÍ« Ü \ R E C Y C L E R ` p ïÍ«€ ÿÿÿÿ•Ü , \ M y M o v i e s \ M a r l e y p Ä ïÍ«€ ÿÿÿÿ–Ü € \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s Ä ê ïÍ« ÿÿÿÿ—Ü ¦ \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ p l - m a r l e y _ x v i d . n f o ê Ì ïÍ«€ ÿÿÿÿ™Ü ˆ \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 2 Ì Ì ïÍ«€ ÿÿÿÿ›Ü ˆ \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 1 Ì X ïÍ« ÿÿÿÿ£Ü € \ M y M o v i e s \ M a r l e y \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s r \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s " M A R L E Y ~ 1 . X V I X Æ ïÍ« ÿÿÿÿ¤Ü z \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 1 € 0 L ÛëPø`#_ckë ÛëPø`#_ck ´ ÿ ÿ $ ÿ ÛëPø`#_ckë © ! ! ! Æ Æ ïÍ« ÿÿÿÿ¥Ü z \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 2 € 0 L ÛëPø`#_ckë ÛëPø`#_ck ´ ÿ ÿ $ ÿ ÛëPø`#_ckë © ! ! ! Æ ä ïÍ« ÿÿÿÿ¦Ü ˜ \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ p l - m a r l e y _ x v i d . n f o € 0 L ÛëPø`#_ckë ÛëPø`#_ck p ÿ ÿ $ ÿ ÛëPø`#_ckë © ! . W i n d o w s . C o m m o n - C o n t r o l s . m u i . D L L C ä ¾ ïÍ« ÿÿÿÿ§Ü r \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s € 0 L ÛëPø`#_ckë ÛëPø`#_ck ´ ÿ ÿ $ ÿ ÛëPø`#_ckë © ! ! ! ¾ ïÍ« ÿÿÿÿ¨Ü , \ M y M o v i e s \ M a r l e y € \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 1 M a r l e y N ïÍ« ÿÿÿÿ©Ü z \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 1 € \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 2 C D 1 N N ïÍ« ÿÿÿÿªÜ z \ M y M o v i e s \ M a r l e y . u n d . I c h . T S . L D . G e r m a n . X V i D - P l e a d e r s \ C D 2 € \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 3 C D 2 N Ô ïÍ« ÿÿÿÿ*Ü \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ d e s k t o p . i n i Ô Ü ïÍ« ®Ü € \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 3 „ 0 L ÛëPø`#_ckë ÛëPø`#_ck ´ ÿ ÿ $ ÿ ÛëPø`#_ckë © ! ! ! D e 3 Ü Ü ïÍ« ¯Ü € \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 2 „ 0 L ÛëPø`#_ckë ÛëPø`#_ck ´ ÿ ÿ $ ÿ ÛëPø`#_ckë © ! ! ! D e 2 Ü Ü ïÍ« °Ü € \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ D e 1 € 0 L ÛëPø`#_ckë ÛëPø`#_ck ´ ÿ ÿ $ ÿ ÛëPø`#_ckë © ! ! ! D e 1 Ü Ô ïÍ« ÿÿÿÿ±Ü \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 4 9 2 8 9 4 2 2 3 - 1 8 0 1 6 7 4 5 3 1 - 1 0 0 3 \ d e s k t o p . i n i Ô
.........................

da taucht auch die infizierte .exe A0032595 wieder auf.

da antivir erst am 14.03.2009 00.03 gemeckert hatte, könnte es etwas mit cryptload zu tun haben?

und kann sich das backdoor woanders noch eingenistet haben, obwohl es
in quarantäne verschoben wurde und gelöscht werden kann?

möchte eigentlich ein "plattmachen" umgehen.

PS: hab den film tags zuvor "original" im kino geschaut ;-)

danke und gruß

DURAN

Ghost1975 · 15.03.2009, 09:59

Hallo DURAN

Zitat:

möchte eigentlich ein "plattmachen" umgehen.

Wenn einer der Kompetenzler sowas sagt

Zitat:

Die Infizierung ist sehr gefährlich da sie dem Angreifer VollZugriff auf dein System ermöglicht.

und dann ne Formatierung Vorschlägt solltest du Dich dran helfen,wer weiß was auf deinem Rechner alles drauf ist und bereits geändert wurde.
Ist die einzige Möglichkeit für deinen Rechner sauber zu werden!

SP3 solltest du nach der Formatierung und Neuinstalation auch installieren+alle weiteren Updates

CoNfIcK3R · 15.03.2009, 14:30

bei mir kam am Freitag auch die gleiche Meldung bei Antivir mit dem BDS/Delf.oex.

Leider war ich zu dem Zeitpunkt bei dem die Meldung kam nicht am PC und konnte ihn nicht gleich in Quarantäne schicken erst so 2-3 Stunden später, wie ist das eigentlich, blockt antivir den Virus bis man eine Option ausgewählt hat oder konnte der Angreifer in den 2-3 Stunden machen was er wollte?

Hab ihn dann auch in Quarantäne gestellt und das Netzwerkabel zum Router gezogen.
Danach hab ich die mbr.exe von GMER ausgeführt, dabei kam dann das raus

Zitat:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

daraus schließe ich mal, dass der MBR sauber ist.
Jetzt schrieb Undoreal

Zitat:

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nun möchte ich mein System neu aufsetzen, das Problem ist halt, dass ich noch ca. 100 GB Dateien auf dem Rechner habe, die ich auf jeden Fall behalten möchte, darunter sind natürlich auch ausführbare Dateien dabei.

Mit welchem Programm kann ich denn die Dateien durchsuchen lassen um sicherzugehen, dass ich nichts verseuchtes auf mein neues System rüberziehe??????

undoreal · 15.03.2009, 15:23

AntiVir blockt die Dateien bis du auswählst was getan werden soll.

Allerdings ist das ziemlich egal denn der Angreifer hat schon Zugriff auf dein System.

Wie du die Dateien sichern kannst habe ich weiter unten ebenfalls gepostet.

Was für ausführbaren Dateien sind das denn? Denn eigentlich solltest du ja alle Programme entweder auf CD haben oder es gibt sie sowieso frei im Internet.
Daher sollte man eigentlich keine ausführbare Dateien sichern müssen..

CoNfIcK3R · 15.03.2009, 15:40

Den eScan muss ich ja vor dem Einsatz erst aktualisieren, aber ich darf ja nicht mit einem kompromitiertem System eine Internetverbindung aufbauen wie mach ich das dann??

muha123 · 15.03.2009, 16:29

Hallo,

also ich hab genau das gleiche Problem! Könnten mal alle beteiligten hier mitteilen ob sie cryptload verwendet haben? Ich bin nämlich beim googlen unter anderem auch auf folgenden link gestoßen: http://cryptload.info/forum/showthread.php?p=28945
Zeitlich würde das Update ja anscheinend bei allen beteiligten reinpassen, auch in nem anderem Forum hab ich bereits gelesen das es von Cryptload kommen soll. Allerdings ist die Datei eben bei mir auch im selben Verzeichnis wie bei den anderen hier aufgetaucht und nicht im Cryptload Verzeichnis.

DURAN · 15.03.2009, 16:39

Zitat:

Zitat von muha123

Hallo,

also ich hab genau das gleiche Problem! Könnten mal alle beteiligten hier mitteilen ob sie cryptload verwendet haben? Ich bin nämlich beim googlen unter anderem auch auf folgenden link gestoßen: http://cryptload.info/forum/showthread.php?p=28945
Zeitlich würde das Update ja anscheinend bei allen beteiligten reinpassen, auch in nem anderem Forum hab ich bereits gelesen das es von Cryptload kommen soll. Allerdings ist die Datei eben bei mir auch im selben Verzeichnis wie bei den anderen hier aufgetaucht und nicht im Cryptload Verzeichnis.

danke für den link. würde ja passen (s. mein post)

gruß

CoNfIcK3R · 15.03.2009, 17:22

also ich benutze auch cryptload aber bei mir war die Datei halt auch im Ordner "System Volume Information" darum weiß ich jetzt nicht ob das nur ein Fehlalarm war oder ob mein System doch infiziert ist..

muha123 · 15.03.2009, 18:03

Also ich hab nun mit sämtlichen Programmen gescannt nachdem ich die Datei gelöscht hatte. Weder hijack this, antivir oder antispyware haben irgendwas entdeckt. Von daher werd ichs jetzt mal dabei belassen.

Eastside · 17.03.2009, 15:02

selbes Problem, auch Cryptload User.
Hatte allerdings das Programm nicht geöffnet als die Meldung kam.

Hoffe mal die Jungs aus dem Cryptload Forum haben Recht

Angel21 · 17.03.2009, 15:23

Im Endeffekt man man nichts und niemandem mehr wirklich trauen, also seid dennoch auf der Hut.

Sry, für den Satz, aber der ist mehr als Wahr was das Internet betrifft ^^

14.03.2009, 14:30	#4
undoreal /// AVZ-Toolkit Guru	BDS/Delf.oex Der MBR ist sauber. Daher kannst du ohne Probleme neuaufsetzen! __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

BDS/Delf.oex

Log-Analyse und Auswertung: BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

BDS/Delf.oex

Ähnliche Themen: BDS/Delf.oex

15.03.2009, 15:40	#9
CoNfIcK3R	BDS/Delf.oex Den eScan muss ich ja vor dem Einsatz erst aktualisieren, aber ich darf ja nicht mit einem kompromitiertem System eine Internetverbindung aufbauen wie mach ich das dann??

15.03.2009, 17:22	#12
CoNfIcK3R	BDS/Delf.oex also ich benutze auch cryptload aber bei mir war die Datei halt auch im Ordner "System Volume Information" darum weiß ich jetzt nicht ob das nur ein Fehlalarm war oder ob mein System doch infiziert ist..

15.03.2009, 18:03	#13
muha123	BDS/Delf.oex Also ich hab nun mit sämtlichen Programmen gescannt nachdem ich die Datei gelöscht hatte. Weder hijack this, antivir oder antispyware haben irgendwas entdeckt. Von daher werd ichs jetzt mal dabei belassen.

17.03.2009, 15:02	#14
Eastside	BDS/Delf.oex selbes Problem, auch Cryptload User. Hatte allerdings das Programm nicht geöffnet als die Meldung kam. Hoffe mal die Jungs aus dem Cryptload Forum haben Recht

17.03.2009, 15:23	#15
Angel21	BDS/Delf.oex Im Endeffekt man man nichts und niemandem mehr wirklich trauen, also seid dennoch auf der Hut. Sry, für den Satz, aber der ist mehr als Wahr was das Internet betrifft ^^ __________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!