Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Log(s) nach positivem Kav-Scan (Delf-Trojandownloader)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.11.2004, 15:38   #1
Waldbaum
 
Log(s) nach positivem Kav-Scan (Delf-Trojandownloader) - Standard

Log(s) nach positivem Kav-Scan (Delf-Trojandownloader)



Hallo

Ich kenne mich leider nicht so besonders aus, deswegen hätte ich gerne mal ein paar Meinungen zu meinen logs hier

Ich hab nach dem Auftauchen eines verdächtigen Prozesses mit der Kaspersky Personal 5 Trial im abgesicherten Modus gescannt und eben ein paar Delf-Varianten gefunden. Über diesen Trojandownloader selbst hab ich leider noch nicht so viel brauchbares gefunden.

Beim scannen wurden ein paar infizierte executables im windir gelöscht und ein verweis in der registry, sonst wurde nichts gefunden.

Seltsamerweise unterscheidet sich mein HijackThis-Log vom 2. Scan vom Log des ersten Scans. Ich hab keine Ahnung warum, oder "soll" das so sein? Es betrifft scheinbar aber auch nur ein paar Einträge über Browser Startpages etc.

Log 1:

Logfile of HijackThis v1.98.2
Scan saved at 15:44:49, on 21.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\System32\SCardSvr.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\SCARDS32.EXE
D:\Programme\WinGate\WinGate.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.EXE
D:\Programme\WinGate\wgengmon.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\KAV5TR\kav.exe /minimize
O4 - Global Startup: WinGate Engine Monitor.lnk = D:\Programme\WinGate\wgengmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E657DBDE-180A-49A2-9603-A6CEFF03DD84}: NameServer = 217.237.150.141 217.237.150.97




Log 2:


Logfile of HijackThis v1.98.2
Scan saved at 15:45:01, on 21.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\System32\SCardSvr.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\SCARDS32.EXE
D:\Programme\WinGate\WinGate.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.EXE
D:\Programme\WinGate\wgengmon.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\KAV5TR\kav.exe /minimize
O4 - Global Startup: WinGate Engine Monitor.lnk = D:\Programme\WinGate\wgengmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E657DBDE-180A-49A2-9603-A6CEFF03DD84}: NameServer = 217.237.150.141 217.237.150.97



Was meint ihr dazu?

Mfg Waldbaum

Alt 21.11.2004, 18:07   #2
Shadowdance
 
Log(s) nach positivem Kav-Scan (Delf-Trojandownloader) - Standard

Log(s) nach positivem Kav-Scan (Delf-Trojandownloader)



Hallo Waldbaum,

ich finde es seltsam, dass Du in zwei aufeinanderfolgenden Scans mit Hijack This verschiedene Startseiteneinträge hast, aber sie sind nicht auffällig.

Bitte überprüfe mit virusscan.jotti.dhs.org:

D:\WINNT\System32\SCardSvr.exe
D:\Programme\WinGate\WinGate.exe

teile uns das Ergebnis der Überprüfung mit.

Deaktiviere die Systemwiederherstellung und beende:
wgengmon.exe

lösche:
D:\Programme\WinGate\wgengmon.exe

Boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Zitat:
Ich hab nach dem Auftauchen eines verdächtigen Prozesses mit der Kaspersky Personal 5 Trial im abgesicherten Modus gescannt und eben ein paar Delf-Varianten gefunden. Über diesen Trojandownloader selbst hab ich leider noch nicht so viel brauchbares gefunden.
Hier nun Information zu den Ablegern der Familie Troj/Delf-.., von SOPHOS. Bitte auch unter "Erläuterung" und "Erweitert" nachlesen:

einige dieser Trojaner sind Backdoor-Trojaner mit folgenden Funktionen (Die Sophos Virus-Information zitiert):

# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Legt Malware ab
# Speichert Tastenfolgen
# Installiert sich in der Registrierung

Bei Anwesenheit dieser Trojaner auf einem System muss man davon ausgehen, dass das System kompromittiert ist. Es ist also zu empfehlen, die Festplatte zu formatieren und dabei Lutz Rat zur Datensicherung und Cidre's Rat zu beachten:

Cidre zitiert:

[..] Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html[Zitatende]

[edit] Ich hätte gerne noch weitere Meinungen der Kollegen zu diesem Problem. [/edit]

SD
__________________


Alt 28.11.2004, 00:33   #3
Waldbaum
 
Log(s) nach positivem Kav-Scan (Delf-Trojandownloader) - Standard

Log(s) nach positivem Kav-Scan (Delf-Trojandownloader)



Hallo,

entschuldigt bitte die etwas verspätete Antwort, aber ich hatte mit ein paar Problemen an der RL-Front zu kämpfen.

Ich habe auf virusscan.jotti.dhs.org (sehr nützliche site btw.) die von dir genannten Dateien überprüft und alle Scanner haben "no viruses found" gemeldet.

Mein Fehler, ich hätte erwähnen sollen, dass an dem Rechner ein Chipkartenleser von Towitoko angeschlossen ist, zu dem der Prozess D:\WINNT\SCARDS32.EXE und der Windowsdienst "Smartcard" (D:\WINNT\System32\SCardSvr.exe) gehören.

Und WinGate ist ein "Software-Router" von Qbik Software (www.wingate.com), den ich nun schon etwas länger zu Testzwecken einsetze.
WinGate.exe ist die als Dienst laufende "Engine", und wgengmon.exe das mitgelieferte "Monitorprogramm" zur Überwachung, das ganz normal im Autostartordner eingetragen ist.

Diese Backdoor-Trojaner aus der Delf-Familie sind wirklich ziemlich übel. Da bekommt man ja schon vom Lesen der Beschreibung Angst. Ich bin mir leider nicht mehr ganz sicher, aber ich glaube alle bei meinem Scan gefundenen Dateien waren mit Delf.cq infiziert, oder Delf.c-irgendwas. Da bin ich mir relativ sicher.

Es scheint also die Hoffnung zu bestehen, eine etwas harmlosere Delf-Variante erwischt zu haben, die "nur" versucht weiteren Müll von irgendwelchen Servern zu ziehen. Delf.cq selbst hab ich jedoch in dieser Sophos-Datenbank noch nicht gefunden.

Ich habe mir die ganzen Links von dir zum Thema Kompromittierung durchgelesen und gleich mal alle Passwörter geändert. Wenn sich das alles bestätigen sollte, kommt wohl einiges an Arbeit auf mich zu...

Gibt es einen praktikablen Weg (außer Virenscannern, die evt. ja nicht alle kennen) Backdoors aufzuspüren? Vielleicht durch Überwachung des Traffics per TCPView oder Ethereal oder was weiß ich noch..

Wenn ich das alles richtig verstanden habe, ist ein Virenscan auf einem kompromittiertem System nicht aussagekräftig, da im Prinzip fundamentale Systemdateien und/oder der Scanner selbst kompromittert sein könnten und somit das Ergebnis manipuliert wäre, oder nicht?

Aber ein Scan von einem nicht kompromittiertem Medium müsste doch funktionieren. Ich habe nämlich vorhin meine c't 20/04 entdeckt, bei der die neue Knoppicilin-CD (schreibt man das so?) dabei war. Das ist im Wesentlichen ja nichts anderes als ein modifiziertes Knoppix zum Aufspüren von Malware. Das könnte doch klappen, wenigstens hätte ich dann Gewissheit, oder?

Gruss
Waldbaum

P.s.

Nochmal Danke für die brauchbaren Links, ich fand die Informationen sehr nützlich.
__________________

Alt 28.11.2004, 12:40   #4
Cidre
Administrator, a.D.
 
Log(s) nach positivem Kav-Scan (Delf-Trojandownloader) - Standard

Log(s) nach positivem Kav-Scan (Delf-Trojandownloader)



Hallo,
Zitat:
Nochmal Danke für die brauchbaren Links, ich fand die Informationen sehr nützlich.
Erstmal Hut ab. Ich glaube, das du der einzige seit langer Zeit bist, der die ganzen Links wirklich gelesen, verstanden und darüber nachgedacht hat.

Zitat:
Gibt es einen praktikablen Weg (außer Virenscannern, die evt. ja nicht alle kennen) Backdoors aufzuspüren? Vielleicht durch Überwachung des Traffics per TCPView oder Ethereal oder was weiß ich noch..
Richtig, damit hast du bereits zwei mögliche Programme genannt. Weitere Infos kannst du hier entnehmen:
http://cert.uni-stuttgart.de/os/ms/w...-detection.php

Zitat:
Wenn ich das alles richtig verstanden habe, ist ein Virenscan auf einem kompromittiertem System nicht aussagekräftig, da im Prinzip fundamentale Systemdateien und/oder der Scanner selbst kompromittert sein könnten und somit das Ergebnis manipuliert wäre, oder nicht?
Auch das hast du richtig verstanden.

Zitat:
Aber ein Scan von einem nicht kompromittiertem Medium müsste doch funktionieren.
Wäre anzuraten.

Jetzt würde mich aber interessieren, wo KAV den TrojanDownloader Delf entdeckt hat (genaue Pfadangabe)?
__________________
Gruß, Cidre


Antwort

Themen zu Log(s) nach positivem Kav-Scan (Delf-Trojandownloader)
abgesicherten modus, acrobat, adobe, bho, browser, button, downloader, excel, explorer, gelöscht, hijack, home, infizierte, internet, internet explorer, kaspersky, keine ahnung, log, microsoft, office, programme, registry, software, sun java, system, system32, tcpip, träge, warum, windows



Ähnliche Themen: Log(s) nach positivem Kav-Scan (Delf-Trojandownloader)


  1. Windows Vista: 17 infizierte Dateien nach Eset Scan + schwarzer Desktop nach GMER-Scan
    Log-Analyse und Auswertung - 18.10.2015 (23)
  2. Rootkit nach Scan gefunden
    Plagegeister aller Art und deren Bekämpfung - 07.09.2014 (3)
  3. Nach Virenfund FRST Scan
    Log-Analyse und Auswertung - 11.06.2014 (3)
  4. nach Scan mit Malewarebytes folgender Log
    Log-Analyse und Auswertung - 01.03.2014 (8)
  5. Win7 - Startseite Firefox auf QV06 umgeleitet - Scan u. Desinfektion mit MbAM, nun weitere Funde nach online-Scan mit ESET
    Log-Analyse und Auswertung - 24.08.2013 (9)
  6. Log Datei nach Scan
    Log-Analyse und Auswertung - 21.05.2012 (1)
  7. Bitte um Zusendung FIX nach OTL scan
    Log-Analyse und Auswertung - 20.03.2012 (1)
  8. Internet Speed halbiert nach teilweiser entfernung von TrojanDownloader:Win32/Small.gen!I
    Log-Analyse und Auswertung - 22.11.2011 (20)
  9. Nach Scan was nun tun?
    Plagegeister aller Art und deren Bekämpfung - 04.01.2010 (8)
  10. Nach Ausführung einer unseriösen Datei einen TrojanDownloader eingefangen
    Log-Analyse und Auswertung - 21.01.2009 (9)
  11. Nach AdAware Scan Netzwerkkarten weg
    Antiviren-, Firewall- und andere Schutzprogramme - 25.05.2007 (6)
  12. Hilfe bei Such nach "Win32/TrojanDownloader.Swizzor Trojaner" benötigt
    Log-Analyse und Auswertung - 27.02.2006 (2)
  13. win32.trojandownloader.delf
    Plagegeister aller Art und deren Bekämpfung - 29.12.2005 (5)
  14. nach e-scan folgende meldung
    Log-Analyse und Auswertung - 08.04.2005 (1)
  15. TrojanDownloader.Win32.Delf.ca in lasasa
    Log-Analyse und Auswertung - 09.12.2004 (4)
  16. TrojanDownloader.Win32.Delf.ca in lasasa
    Plagegeister aller Art und deren Bekämpfung - 08.12.2004 (1)
  17. TrojanDownloader:Win32/Delf.J
    Plagegeister aller Art und deren Bekämpfung - 06.07.2003 (11)

Zum Thema Log(s) nach positivem Kav-Scan (Delf-Trojandownloader) - Hallo Ich kenne mich leider nicht so besonders aus, deswegen hätte ich gerne mal ein paar Meinungen zu meinen logs hier Ich hab nach dem Auftauchen eines verdächtigen Prozesses mit - Log(s) nach positivem Kav-Scan (Delf-Trojandownloader)...
Archiv
Du betrachtest: Log(s) nach positivem Kav-Scan (Delf-Trojandownloader) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.