Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Drop.Delf.DJ.3

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.10.2004, 14:24   #1
aletodi
 
TR/Drop.Delf.DJ.3 - Standard

TR/Drop.Delf.DJ.3



Hi,

ich habe ein Problem. Irgendwie hat sich eine Startseite im Browser eingestellt die ich nicht will.
Jesesmal wenn ich IE starte und auf diese voreingestellte Site gelange, gibt mir das Virusprogramm eine Warnmeldung mit obigem Trojaner (siehe Titel). Nun ich habe schon ziemlich alles probiert! D.h. Virusscan mit Antivir 6, Ad-aware und das on-line virusscan von Pandasoftware. Am Anfang wurden sie fündig, und löschten angeblich alles raus. Aber die Startsite bleibt da. Beim manuellen eingeben in der Registry, fliegt die von mir eigegebene Adresse wieder raus sobald ich das Fenster verlasse. Einen neuen Account hat auch nichts gebracht! Nun das Beste: all diese Schritte habe ich auch im Abesichertem Modus gemacht, ERFOLGLOS. Eine Interessante Differenz ist jedoch zu beobachten: im abgesichertem Modus, wenn ich alle angaben im Registry manuell eingebe, bleiben sie dann auch. Aber sobald ich die Maschiene reboote ist wieder alles beim alten!
Weiss nicht mehr weiter!
System: Win2k Pro

Hier das Hijack log file:

Logfile of HijackThis v1.98.2
Scan saved at 15:13:23, on 07.10.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\System32\LXSUPMON.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\SED\SED.exe
C:\WINNT\System32\systime.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\winnt\winln.exe
C:\WINNT\System32\systime.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\Labtec Wireless Desktop\MulMouse.exe
C:\Programme\Labtec Wireless Desktop\MagicKey.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\Outlook Express\msimn.exe
C:\Downloads\Programs\Antiviren & Co\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe"
O4 - HKLM\..\Run: [SysTime] C:\WINNT\System32\systime.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [winltmpv] c:\winnt\winln.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\System32\systime.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Labtec Wireless Desktop aktivieren.lnk = C:\Programme\Labtec Wireless Desktop\MulMouse.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste (2).lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: START_PAGE_URL=http://internet.sunrise.ch/de/hom/default.asp
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - (no file)

Hilfe!

Alt 07.10.2004, 16:10   #2
SEK
 
TR/Drop.Delf.DJ.3 - Standard

TR/Drop.Delf.DJ.3



hi habe den selben Trojaner und den TR/Dldr.Ist.15360.A
dazu und bekomme den dreck auch nicht weg.

Hab hier auch mal meine Hijack file...hoffe das ich hier HILFE dagegen FINDE!
--------------------------------------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 17:10:01, on 07.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\LOGI_MWX.EXE
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\ICQ\Icq.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\FlashFXP\flashfxp.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Hertel.PC_1.000\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O4 - Startup: FRITZ!dsl.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{241BD397-65E0-481D-A560-B751DF826EB9}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0A69F63-A3A5-488B-B9F2-C5350B6463C7}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{241BD397-65E0-481D-A560-B751DF826EB9}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{241BD397-65E0-481D-A560-B751DF826EB9}: NameServer = 192.168.122.252,192.168.122.253
--------------------------------------------------------------------------

Ich weiß net weida, anti vir, norton, mc affee etc. bla bla nix läuft HELP plz !
__________________


Alt 07.10.2004, 17:28   #3
*Christian*
Gast
 
TR/Drop.Delf.DJ.3 - Standard

TR/Drop.Delf.DJ.3



@aletodi

Lösche diese Dateien bzw. Ordner im abgesicherten Modus:

C:\WINNT\System32\systime.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\IESearchToolbar



Anschließend fixe mit HijackThis dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} -
C:\Programme\IESearchToolbar\IESearchToolbar.dl
O4 - HKLM\..\Run: [SysTime] C:\WINNT\System32\systime.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\System32\systime.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame
Dateien\GMT\GMT.exe
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - (no file)

c:\winnt\winln.exe überprüfe hier: http://www.kaspersky.com/de/scanforvirus

Verwende zum Schutz vor solchen Browserentführungen einen anderen Webbrowser: www.firefox-browser.de ist sicher und kostenlos.
Siehe auch:
www.mozilla.kairo.at
www.opera.com
__________________

Alt 07.10.2004, 17:29   #4
*Christian*
Gast
 
TR/Drop.Delf.DJ.3 - Standard

TR/Drop.Delf.DJ.3



@ SEK

Bitte benutze die aktuelle Version von HijackThis ( 1.98.2 ).

Alt 07.10.2004, 22:54   #5
aletodi
 
TR/Drop.Delf.DJ.3 - Standard

TR/Drop.Delf.DJ.3



@ christian

zu deiner anleitung habe noch die registry manuell geändert im abgesichertem modus.

somit hat alles bestens geklappt! DANKE


Antwort

Themen zu TR/Drop.Delf.DJ.3
.inf, ad-aware, adobe, anfang, antivir, bho, browser, dateien, desktop, explorer, file, helper, hijack, hijack log, hijackthis, internet, internet explorer, log, log file, microsoft, neue, outlook express, programme, registry, siehe titel, system32, trojaner, urlsearchhook, virusprogramm, windows, wireless



Ähnliche Themen: TR/Drop.Delf.DJ.3


  1. TR/Drop.Delf.cip; TR/Drop.Delf.cio; BkCln.Unknown
    Plagegeister aller Art und deren Bekämpfung - 17.01.2009 (13)
  2. TR/Drop.Delf.AHG.2 HELP!
    Plagegeister aller Art und deren Bekämpfung - 31.10.2007 (0)
  3. Drop.Delf.MH.4.B
    Log-Analyse und Auswertung - 28.09.2007 (2)
  4. Virusmeldung TR/Drop.Delf.DG.1
    Log-Analyse und Auswertung - 27.02.2007 (22)
  5. TR/Drop.delf.YZ.7 ***pls help***
    Log-Analyse und Auswertung - 26.08.2006 (4)
  6. HILFE - wie werde ich TR/drop.delf.fd.1 los???
    Plagegeister aller Art und deren Bekämpfung - 17.10.2005 (1)
  7. Trojaner: drop.delf.MQ
    Plagegeister aller Art und deren Bekämpfung - 14.09.2005 (15)
  8. TR/Drop.Delf.KY.2
    Log-Analyse und Auswertung - 18.07.2005 (33)
  9. Habe den Trojaner TR/Drop.Delf.FD.1
    Plagegeister aller Art und deren Bekämpfung - 10.04.2005 (15)
  10. Hilfe! wie bekomme ich Drop.Delf.DJ.3 weg ?
    Log-Analyse und Auswertung - 06.03.2005 (6)
  11. TR/Drop.Delf.DJ.4 Probs
    Plagegeister aller Art und deren Bekämpfung - 20.12.2004 (1)
  12. TR/Drop.Delf.DJ.3
    Log-Analyse und Auswertung - 14.11.2004 (8)
  13. Trojanische Pferd TR/Drop.Delf.DJ.3
    Plagegeister aller Art und deren Bekämpfung - 05.11.2004 (1)
  14. TR/Drop.Delf:DJ.3
    Plagegeister aller Art und deren Bekämpfung - 19.10.2004 (9)
  15. TR/drop.delf.dj.4 usw...
    Log-Analyse und Auswertung - 11.10.2004 (11)
  16. TR/Drop.Delf.DJ.3 wie entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 29.09.2004 (11)
  17. Tr/drop.delf.dj3
    Plagegeister aller Art und deren Bekämpfung - 23.09.2004 (3)

Zum Thema TR/Drop.Delf.DJ.3 - Hi, ich habe ein Problem. Irgendwie hat sich eine Startseite im Browser eingestellt die ich nicht will. Jesesmal wenn ich IE starte und auf diese voreingestellte Site gelange, gibt mir - TR/Drop.Delf.DJ.3...
Archiv
Du betrachtest: TR/Drop.Delf.DJ.3 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.