|
TR/delf.DY AntiVir hat auf meinem Rechner den Trojaner TR/delf.dy gefunden, in C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP197\A0037217.exe, konnte die Datei aber nicht löschen. Nach Beendigung der Virenprüfung hat AntiVir einen Neustart verlangt, um die Datei entfernen zu können. Nach diesem Neustart hat die nächste Antivirenprüfung keine Funde mehr ergeben, auch die am nächsten Tag und die heutige scheinen sauber. Wie kann ich aber sichergehen, daß alles entfernt ist? (Die beanstandete Datei ist weg, im Taskmanager finde ich keine Prozesse, die nicht immer schon laufen) Hier das Hijack This-Logfile: Logfile of HijackThis v1.98.2 Scan saved at 09:23:37, on 12.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\katz\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chello.at/ O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE O4 - Global Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B25D8C8F-98C9-4F18-957E-7BC8BF8B50BB}: NameServer = 195.34.133.10,195.34.133.11 |
Scanne mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083 |
AntiVir hat auf meinem Rechner den Trojaner TR/delf.dy gefunden, in C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP197\A0037217.exe klingt auch nach fehlalarm! systemwiederherstellung ausschalten, pc neustart. das war's eigentlich, und der eintrag ist weg. in letzter zeit wieder öfters fehlalarme bei antivir pe , speziell Tr/Delf. hab erst gestern eine datei von kazaa eingesendet (KSIG.exe), weil antivir pe sie auch als Trojaner DELF bemängelt. besten gruss rock |
Sun Sep 12 12:33:30 2004 => ***** Scanning complete. ***** Sun Sep 12 12:33:30 2004 => Total Number of Files Scanned: 2277 Sun Sep 12 12:33:30 2004 => Total Number of Virus(es) Found: 1 Sun Sep 12 12:33:30 2004 => Total Number of Disinfected Files: 0 Sun Sep 12 12:33:31 2004 => Total Number of Files Renamed: 0 Sun Sep 12 12:33:31 2004 => Total Number of Deleted Files: 0 Sun Sep 12 12:33:31 2004 => Total Number of Errors: 1 Sun Sep 12 12:33:31 2004 => Time Elapsed: 00:02:41 Sun Sep 12 12:33:31 2004 => Virus Database Date: 2004/09/08 Sun Sep 12 12:33:31 2004 => Virus Database Count: 103467 Sun Sep 12 12:33:31 2004 => Scan Completed. Der gefundene Virus war: Sun Sep 12 12:31:13 2004 => File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken. und der Error das hier: Sun Sep 12 12:31:02 2004 => ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\Drivers\SYMIDSCO.SYS in SYSTEM\CurrentControlSet\Services\SYMIDSCO... Was ist nun zu tun? |
sorry eva, um was geht es? ich glaub du hast den falschen thread erwischt. eventuell ZU DEINEM problem ein neues thema aufmachen mit näheren angaben zum betriebsystem. und software/virenschutz..etc.. rock |
Nein, ich bin im richtigen Thread. Christian hat nach einem Virenscan im abgesichterten Modus gefragt, und das ist das logfile dazu. |
ach ja, sory...so ein schmarren....wo bin ich schon wieder...ich seh auf allen ecken und enden nur antivir pe restore meldungen, da kann man sich schon verwirren/verirren... na dann schalt mal die swh aus, und starte den pc neu wie gesagt. ;) besten gruss rock |
Hallo Eva, - fixe bitte im abgesicherten Modus mit Hijack This folgende Einträge: O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm - poste bitte danach ein neues Logfile. SD |
javadateien müssen nicht gelöscht werden, wenn sie den Bell Pc hat auch nicht den eintrag davon.., und My Search Bar/My way...(etc.) wird von einigen spytools nicht beantstandet, manche schon...wenn man weis zu welcher software/von welcher software es ist am rechner dann soll man sich das vorher anschauen bevor der eintrag fliegt! ;) sind sonderfleisaufgaben! hat aber alles NICHTS mit dem TR/Delf zu tun. rock edit: wieso fliegt auch der ms-eintrag? den haben doch so ziemlich alle am rechner? ich misch mich da besser nimmer ein, und "BITTEN" tue ich schon niemand etwas zu löschen! |
Zitat:
dann werde ich mich wohl mit Sonderfleissaufgaben befassen müssen :D ... und was den TR/Delf anbelangt, kann man wohl als sicher annehmen, dass es ihn auf Eva's PC nicht gibt. @ eva, tu, was rock schreibt ... SD [edit] Zitat:
Zitat:
|
also was jetzt? entfernen oider nicht? was dieses search-bar ist, weiß ich, das verwendet der ie6.0, ich hab einen packard-ball-pc, und was hat's mit den java-dateien auf sich? (java runtime 1.4 ist installiert, weil es anwendungen gibt, die das brauchen) ich will mir jetzt nicht, ohne es zu wissen, ein bisher recht gut funktionierendes system zerschießen, das isses... (systemwiederherstellung deaktiviert und neugestartet hab ich übrigens jetzt grad) |
shadow, sorry...heut ist nicht mein tag... diese einträge soll man sich schon anschauen! O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL am besten halt mit ad aware mal scannen oder pestscan...wenn eva NICHT weis zu welcher software sie sich das "mitgenommen" hat, dann raus damit! hast ja recht! ;) aber ansonsten java, microsoft office, Backard Bell...nicht wirklich NOTWENDIG! besten gruss rock |
Zitat:
wenn du jetzt soweit bist, dann scan nochmal nach, der eintrag in der systemwiederherstellung sollte WEG SEIN! bzgl. der genannten MY BAR einträge wie gesagt mit einem Spytool prüfen, wenn anschlägt, dann raus damit! rock |
diese beiden einträge hab ich jetzt doch entfernt, weil ich dieses add-on ja nicht mal wirklich brauch, aber der eine C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken. kommt noch immer. |
das ist merkwürdig, wenn du die systemwiederherstellung schon aus hast. wer bringt diese meldung? an deine hijackthislog sieht man auch ausser den mybar einträgen keine weitere spyware oder dialer... du solltest dennoch dein system mit einem tool wie ad aware oder spybot machen. (systemwiederherstellung ausgeschalten lassen) ich hab ebengleiche einträge gerade in einem anderen forum gesehen: File C:\WINDOWS\Downloaded Program Files\gsda.dll tagged as not-a-virus:RiskWare.Downloader.SpyGame. No Action Taken. File C:\WINDOWS\EPlugin.ocx tagged as not-a-virushttp://board.protecus.de/templates/s.../icon_razz.gifornWare.Dialer.SexGate. No Action Taken. File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken. File C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken. _________ da ist aber noch kein abschluss..war auch schon länger her. statt dem smilie im text wird wohl porn gemeint sein. _________ wie gesagt, prüfe den rechner unbedingt nochmal nach. eventuell onlinescan auch in betracht ziehen: http://www.pandasoftware.com/actives..._principal.htm schau auch mal in den ordner Downloaded Programm Files ob da seltsame plugins drin hocken! viel erfolg. besten gruss rock |
die virenmeldung kommt von: eScan AntiVirus Toolkit Utility - allerdings war bei dem test die systemwiederherstellung nach dem neustart im wieder an. (hat das überhaupt auswirkungen im abgesichterten modus?) ich hab mir mal diese restore.ins angesehen, diese datei ist erstellt worden an dem tag, an dem dieser rechner das erste mal aufgesetzt wurde und seither nicht mehr geändert worden. und in den downloaded program files ist MS Security Advisor Class und die Java Runtime 1.4.2 und ein Shockwave Flash Object, der cache des ie wird täglich ausgeleert.....also keine ahnung, was das ist. naja, werd das ganze halt weiter beobachten. aber schon mal gut zu wissen, daß es diesen trojaner, auf den ich verdacht hatte, auf diesem rechner nicht zu geben scheint. danke euch allen für hilfe! |
tut mir leid nicht weiterhelfen zu können. im abgesicherten modus arbeiten/scannen/löschen...was auch immer...der wird eigentlcih nur bei wartung/reparatur angewendet. weil sich nur die nötigsten treiber mitladen das win geht. ebenso verwendet ihn den modus bei der viren/trojaner entfernung, weil sie sich nicht in den hintergrund laden können und somt leichter zu löschen sind. (ist aber auch schon vorgekommen, das sowas nicht immer klappt) Systemwiederherstellung bei viren/trojaner beseitigungen deshalb abdrehen, da sich sonst wieder irrtümlich schadhafte dateien ins system nach einem löschen und neustart ins system zurückkopieren können. ist es aber eine viren/trojaner etc. meldung NUR in der systemwiederherstellung, also in System volume, restore, FS CAB, usw. dann ist es ein fehlalarm wenn vorher noch nie am system die jeweilig gemeldete malware schon gelöscht und/oder gewerkt hat! zuminderst in den temporären files hätte eine meldung kommen müssen. oft ist es auch so das der wächter nichts merkt, und probleme erst gefunden werden, wenn sie länger am rechner sind/waren... allgemein solltet du nach solche vorfällen die wahl deines/r sicherheitsprogramme überdenken. besten gruss rock |
in den temporären files ist nix gefunden worden (auch nix auffälliges dort zu sehen), und dieser eine eintrag wird auch nur von eScan AntiVirus Toolkit Utility gefunden. nun ja, wie gesagt, werde ein auge drauf halten, glaube aber eher an einen fehlalarm von escan! dank für hilfe auf jeden fall (und bei der gelegenheit gleich wieder am rechner zammgeräumt, was notwendig war, die virenscans gehen jetzt in fast 1/3 der zeit) |
noch ganz kurz zu dieser ominösen restore.ins - die ist für internetkommunikationseinstellungen zuständig, wenn man sie umbenennt und neu startet, hat das keine auswirkung (außer daß diesem escan dann die umbenannte datei nicht paßt), wenn man sie in eine fingerweg.zip packt, ändert sich an der funktion des rechners nichts, wenn man sie startet, kommt eine warnung, daß man internetkommunikationseinstellungen ändert, und es ändert sich nichts, nichts, nichts. (alle verbindungsrelevanten sachen gleich geblieben, neuer hijack-log sieht exakt aus wie der gestern auch, also scheint sich nix irgendwohin einzuwählen wollen, firewall-log unauffällig, und der anti vir guard schreit auch nicht) aber irgendeinen sinn muß doch eine 1,4 MB große datei haben???? |
einige scanner protokolieren soviel zeugs das man sich nur noch mit dem scanner beschäftigt. angefangen von ein/aus gabefehlern, was immer das bedeutet für den user, bis hin zu defekten oder beschädigten archiven, aber nur deshalb weil der/die scanner die datei nicht prüfen kann...usw... bevor du deshalb dein system verdrehst: e-scan support mal anschreiben, wenn es das einzige programm ist, was dir so einen eintrag bescherrt. besten gruss rock |
danke für den tip, werd ich mal machen - ist spärlich, aber doch in den weiten des internet dokumentiert, daß diese meldung auftaucht, allerdings in den hijack-scans nach ziemlich zerschossenen und verseuchten systemen. nach 'pskill' (was in der datei beanstandet wird) hab ich auch gesucht, das ist ein programm, um prozesse sofort zu beenden, lokal als auch im netzwerk, und wird von vielen antiviren-scannern als böse gesehen, keine ahnung, wo das dann her sein kann.... keine ahnung..... aber im täglichen virenscan ist nach wie vor alles sauber und nichts benimmt sich auffällig. ist deiner meinung nach noch grund zur paranoia oder scheint hier alles soweit unter kontrolle? (sorry fürs nerven....) |
kein problem du nervst nicht. also PsKill ist ein tool zum prozesse beenden, vielleicht verwendet das mvescan oder e-scan , wie immer es heist, diese anwendung selbst in ihrem programm um eben ungewünschte malware-prozesse zu killen, sonst würd ja das löschen nicht gehen...möglich ist alles...merkwürdig find ich nur diese "restore .ins" meldung dazu...was aber eigentlich keine datei ist, sondern da wird ja nur hingewiesen das wegen dem PsKill keine aktionen seitens dem scanner unternommen wurde! vielleicht wäre es doch gut beim hersteller anzufragen, und es mal so lassen wie es ist, wenn bei deinem system sonst alles klar ist. besten gruss rock |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board