Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Hilfe, delus.exe? (https://www.trojaner-board.de/26388-bitte-um-hilfe-delus-exe.html)

KaBa 01.02.2006 12:33
Bitte um Hilfe, delus.exe?
 
Hallo,

hab gestern antivir deinstalliert, damit ewido mal alleine arbeiten kann.
Weil der PC während des updates von ZA gehangen ist, hab ich gestern mal wieder den PC bereinigt mit dem ClearProg (1.4.2Beta7) und dem RegSeeker (1.45 build 0505).
Beim Ausschalten abends ist der PC nicht ganz runter gefahren, bzw musste ihn ausknipsen. so.

Heut morgen nach dem Benutzeranmelden meldet Windoof:
c:\dokumenteundeinstellungen\benutzerX\lokale~1\temp\delus.exe nicht gefunden
und
Spybot S&D bzw der TeaTimer meldet gleich danach und fragt, ob eine Registrierungsänderung zugelassen werden soll: global Start up: Eintrag delus.exe will gelöscht werden.
Hab das "verweigert" und nun ergeht alle 2 sekunden eine Meldung vom ResidentTeaTimer (Spybot S&D), dass die Löschung in der Registry durch S&D verhindert wird.

ich komm nicht dahinter, wer (prozess/Anwendung) diesen Eintrag ständig löschen will.
irgendwas muss doch aktiv sein, was den fehlerhaften Eintrag löschen (verstecken) möchte???
Nach jedem PC-Neustart kommt immer wieder der Vesuch, den Registry-Eintrag (der weder mit HJT noch mit regedit zu sehen ist) zu löschen, was S&D automatisch verhindert.
Ja, und das den ganzen lieben Morgen lang....

Mit regedit finde ich keinen hinweis auf delus.exe, auch nicht im angesicherten modus.
Die Datei delus.exe wird vermutlich gestern nach Reinigen mit ClearProg verschwunden sein.

HJT zeigt ebenfals kein delus.exe an.
heut morgen hatte ich diese drei zeilen gefixt.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
und zwei 06-Einträge (die ich nichtmehr backupen kann zum hier zeigen)

hier das aktuelle hjt

Code:
Logfile of HijackThis v1.99.1
Scan saved at 12:02:52, on 01.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
D:\HijackThis\1-99-1\HJT.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2003\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2003\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2003\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 205.188.146.145
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

MightyMarc 01.02.2006 13:04
Lade Dir Regmon. Filtereinstellungen:
Include: *
Exclude:
Highlight: Delete

Bei den Filtereinstellungen alle 5 Häkchen setzen.

Die rot markierten Einträge sollten Dir zeigen, wer oder was versucht den Schlüssel zu löschen.

€dit:

Die Anzeige kann sehr sehr umfangreich ausfallen! Nicht irritieren lassen und nur nach den markierten Einträgen suchen. Zur Not hilft unter Umständen ein Klick auf "REQUEST" um die Einträge alphabetisch zu ordnen.

rich20 01.02.2006 13:25
Antivirus schlecht deinstalliert?
Diese gehört zu Antivirus und ist dafür zuständig, nach der Deinstallation von AV nach dem vorgeschriebenen Neustart die Reste zu entfernen.
Gib einfach im AntiVirus Forum den Suchbegriff "delus.exe" ein.
Zu beachten, daß du im alten Forum vielleicht mehr Treffer erhälst. ;)

http://forum.antivir-pe.de/

KaBa 01.02.2006 13:37
Aha,
Danke euch beiden.

den RegMon hab ich jetzt laufen lassen. lustig.
Wenn ichs richtig versteh, werden da so 800 Änderungen angezeigt innerhalb einer Sekunde?!?!?
Ich seh auch keine roten Einträge (Filter-Einstellungen wie angegeben)


Antivir-Reste? ja könnte sein. Dann werd ich mal versuchen, S&D davon zu überzeugen, die Änderung zuzulassen.... egal wer das macht...

Mahlzeit so long ;)

MightyMarc 01.02.2006 14:04
Hmmm vielleicht zeigt Regmon keinen Eintrag bei Delete, weil S&D dass blockiert. Mit deaktiviertem S&D (Teatimer war's, oder?) sollte sich da was finden lassen. Es könnte tatsächlich sein dass, wie rich20 bereits andeutete, AntiVir selbst versucht den Schlüssel zu löschen.
Aber kontrollier das mal. Eigentlich sollte Regmon was finden.

Wahlweise könntest Du auch folgendes machen [1]:

Start -> Ausführen -> regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

In diesem Pfad nach Einträgen von AntiVir und der delus.exe suchen und von Hand löschen. Aber bitte vorher ein Sicherung dieses Zweiges anlegen [2] !

[1] CurrentControlSet\Services Subkey Entries

[2] Exportieren von Registrierungsschlüsseln

rich20 01.02.2006 14:23
Zitat:
Spybot S&D bzw der TeaTimer meldet gleich danach und fragt, ob eine Registrierungsänderung zugelassen werden soll: global Start up: Eintrag delus.exe will gelöscht werden.
Hab das "verweigert"
"Hab das verweigert" Dann ist alles klar, Antivirus versucht die Reste zu entfernen und du läßt es nicht zu.

Nachtrag:
Es ist dir schon bewußt, daß du, wenn du etwas De-oder Installierst, Veränderungen so lange zulassen mußt, bis nach einem Neustart die De/installation abgeschlossen ist?


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131