Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: DR/Delf.AY gefunden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.11.2009, 15:58   #1
Moritz009
 

DR/Delf.AY gefunden - Standard

DR/Delf.AY gefunden



Hallo Forengemeinde,

ich muss euch leider Gottes mit einem Problem belästigen . Und zwar wollte ich von w*w.chip.de ein (Scherz)programm herunterladen (der Link folg im EDIT). Dies tat ich auch, doch dann meldete sich antivir 2 mal. Und zwar zuerst
hiermit:
Code:
ATTFilter
 In der Datei 'C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\7qejr9fi.default\Cache\A6B93F97d01'
wurde ein Virus oder unerwünschtes Programm 'DR/Delf.AY' [dropper] gefunden.
         
.Und dann hiermit:
Code:
ATTFilter
 In der Datei 'C:\Users\***\AppData\Local\Temp\sZWXRW8L.exe.part'
wurde ein Virus oder unerwünschtes Programm 'DR/Delf.AY' [dropper] gefunden.
         
Meine Frage nun: Ist das ein ernsthaftes Problem, oder nur ein False/Positive ? Weil die Downloadseite doch eigentlich seriös ist, oder? Ich habe die Dateien daraufhin in Quarantäne verschoben und zu Virustotal hochgeladen: Dort fanden ca. 20 Scanner etwas, (fast) alle diesen DR/delf. Allerdings habe ich die Dateien daraufhin aus der Quarantäne gelöscht... (Ich weiß, Asche auf mein Haupt ) Hier folgt mein HijackThis Log
Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:54:13, on 19.11.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Prevx\prevx.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\notepad.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd
O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\Windows\system32\rundll32.exe" "C:\Users\Moritz\AppData\Local\Temp\nos_uninstall_helper.dll",Uninstall /Get1noarp
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O13 - Gopher Prefix: 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\Prevx\prevx.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 3574 bytes
         
Wie gesagt, der Link folgt im EDIT.
Grüße Moritz

EDIT: Wie versprochen, hier der Link: h**p://www.chip.de/downloads/ComputerSchock_15234557.html
__________________
Grüße,
Moritz

Trojaner-Board Spendenkonto

Alt 21.11.2009, 10:46   #2
undoreal
/// AVZ-Toolkit Guru
 
DR/Delf.AY gefunden - Standard

DR/Delf.AY gefunden



Ich denke das Tool ist "harmlos".

Musst dir keine Sorgen machen.

Das Chip.de sowas hostet finde ich weniger toll.
__________________

__________________

Alt 21.11.2009, 11:29   #3
Moritz009
 

DR/Delf.AY gefunden - Standard

DR/Delf.AY gefunden



Hi,

Puuh, danke für die Entwarnung... Aber: Lohnt es sich vielleicht, deswegen eine E-Mail an chip zu schicken? Mich wundert nur: Beim Download steht ja immer "Virengeprüft durch Kaspersky" . Aber als ich die Datei bei Virustotal hochgeladen habe, fand auch Kaspersky etwas . Wie ist das zu verstehen? Ich meine: sowas verunsichert doch auch die Leute, die dies runterladen. ^^

Naja, aber trotzdem ein Riesen Dankeschön!
__________________
__________________

Alt 21.11.2009, 12:31   #4
undoreal
/// AVZ-Toolkit Guru
 
DR/Delf.AY gefunden - Standard

DR/Delf.AY gefunden



Ich hab schon so viele Schädlinge bei Chip gesehen...
Da hattest du in diesem Fall nochmal Glück.
Aber ich würde in der Tat mal eine Mail schicken. Ich würde sowas an deren Stelle nicht hosten.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 22.11.2009, 14:57   #5
Moritz009
 

DR/Delf.AY gefunden - Standard

DR/Delf.AY gefunden



Hi,

Ich habe gerade einfach mal so einen GMER Scan gemacht, doch der bleib bei " \Device\HarddiskVolumeShadowCopy1" stehen... Ich habe als der genannte Pfad kam, beim 3. Mal auf Stop gedrückt und das Log bis dahin gespeichert (folgt). Allerdings kommt auch in unregelmäßigen Abständen beim Starten von GMER ein bluescreen!?
Hier der GMER log bis zu dem Pfad:
Code:
ATTFilter
 GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-22 15:36:52
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\Moritz\AppData\Local\Temp\fwryypod.sys


---- System - GMER 1.0.15 ----

SSDT   \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)  ZwAssignProcessToJobObject [0x913511CC]
SSDT   9B70B5C4                                                                ZwCreateThread
SSDT   9B70B5B0                                                                ZwOpenProcess
SSDT   9B70B5B5                                                                ZwOpenThread
SSDT   \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)  ZwProtectVirtualMemory [0x91351292]
SSDT   \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)  ZwSetContextThread [0x9135118E]
SSDT   9B70B5BF                                                                ZwTerminateProcess
SSDT   \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)  ZwTerminateThread [0x91351316]
SSDT   \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)  ZwWriteVirtualMemory [0x9135134E]

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!KeSetEvent + 191                                           81CB68D4 4 Bytes  CALL B6DD355A 
.text  ntkrnlpa.exe!KeSetEvent + 221                                           81CB6964 1 Byte  [C4]
.text  ntkrnlpa.exe!KeSetEvent + 221                                           81CB6964 4 Bytes  [C4, B5, 70, 9B]
.text  ntkrnlpa.exe!KeSetEvent + 3F1                                           81CB6B34 4 Bytes  [B0, B5, 70, 9B] {MOV AL, 0xb5; JO 0xffffffffffffff9f}
.text  ntkrnlpa.exe!KeSetEvent + 40D                                           81CB6B50 4 Bytes  [B5, B5, 70, 9B] {MOV CH, 0xb5; JO 0xffffffffffffff9f}
.text  ...                                                                     

---- User code sections - GMER 1.0.15 ----

.text  C:\Windows\Explorer.EXE[2724] ntdll.dll!NtWriteFile                     77095644 5 Bytes  JMP 72395C30 C:\Windows\system32\PxSecure.dll (Prevx Security Library/Prevx)
.text  C:\Windows\Explorer.EXE[2724] kernel32.dll!CreateThread
         

__________________
Grüße,
Moritz

Trojaner-Board Spendenkonto

Antwort

Themen zu DR/Delf.AY gefunden
adobe, antivir, antivir guard, avg, avira, bho, defender, desktop, dr/delf.ay, firefox, hijack, hijackthis, internet, internet explorer, local\temp, logfile, mozilla, problem, programm, rundll, scan, software, system, virus, vista, windows



Ähnliche Themen: DR/Delf.AY gefunden


  1. Trojaner TR/Dldr.Delf.1053840.3 von Avira gefunden
    Log-Analyse und Auswertung - 10.07.2015 (9)
  2. Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.10.2010 (18)
  3. Antivir hat TR/Drop.Delf.dxc gefunden
    Log-Analyse und Auswertung - 24.11.2009 (27)
  4. TR/PSW.Delf.AB
    Plagegeister aller Art und deren Bekämpfung - 15.04.2009 (1)
  5. TR/PSW.Delf.AB
    Log-Analyse und Auswertung - 15.04.2009 (1)
  6. BDS/Delf.oex
    Log-Analyse und Auswertung - 17.03.2009 (14)
  7. TR/Drop.Delf.cip; TR/Drop.Delf.cio; BkCln.Unknown
    Plagegeister aller Art und deren Bekämpfung - 17.01.2009 (13)
  8. BDS/Delf.mid (von Antivir gefunden) + hijack Log
    Log-Analyse und Auswertung - 06.10.2008 (21)
  9. TR/Spy.Delf.cdp
    Plagegeister aller Art und deren Bekämpfung - 09.06.2008 (9)
  10. TR/Spy.Delf.cfr - was ist das?
    Plagegeister aller Art und deren Bekämpfung - 26.05.2008 (0)
  11. Trojaner TR/Dldr.Delf.gmg.1 gefunden/gelöscht noch vorhanden?
    Log-Analyse und Auswertung - 20.04.2008 (1)
  12. BDS/Delf.DHU.1
    Mülltonne - 03.04.2008 (0)
  13. Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?
    Log-Analyse und Auswertung - 25.03.2008 (6)
  14. Spy.Delf.ago.1
    Log-Analyse und Auswertung - 27.09.2007 (12)
  15. Antivir hat TR/Spy.Delf.JQ.110 gefunden
    Plagegeister aller Art und deren Bekämpfung - 27.05.2007 (2)
  16. TR/Click.Delf.DX - Antivir hat Trojaner gefunden
    Plagegeister aller Art und deren Bekämpfung - 16.07.2006 (13)
  17. Logfile zu: AW: TR/Click.Delf.DX - Antivir hat Trojaner gefunden
    Mülltonne - 13.07.2006 (2)

Zum Thema DR/Delf.AY gefunden - Hallo Forengemeinde, ich muss euch leider Gottes mit einem Problem belästigen . Und zwar wollte ich von w*w.chip.de ein (Scherz)programm herunterladen (der Link folg im EDIT). Dies tat ich auch, - DR/Delf.AY gefunden...
Archiv
Du betrachtest: DR/Delf.AY gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.