Trojaner-Board - TR/Drop.Delf:DJ.3

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Drop.Delf:DJ.3 (https://www.trojaner-board.de/8458-tr-drop-delf-dj-3-a.html)

TR/Drop.Delf:DJ.3

Hallo zusammen,

ich als Nichtprofi habe versucht, mich zu diesem anscheinend nicht neuen Thema schonmal ein wenig schlau zu machen - wie gesagt, ich bin alles andere als ein Experte, darum bitte ich um Nachsicht für dumme Fragen oder vergessene Angaben.

Mein AntiVir Guard findet beim Start des Internet-Explorers den im Betreff genannten Trojaner, der sich temporär löschen läßt, aber anscheinend "wiederhergestellt" wird.

E-Scan ist installiert und gelaufen, hijackthis sagt dies (auf dem Sytem herrscht leider aufgrund mehrerer Benutzer ziemliches Chaos):

Logfile of HijackThis v1.98.2
Scan saved at 13:21:24, on 15.10.04
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\SysTray.Exe
C:\WINNT\System32\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Exif Launcher\QuickDCF.exe
C:\PROGRA~1\Plus!\MICROS~1\iexplore.exe
D:\ROLAND\WinZip\winzip32.exe
C:\TEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...5.5&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir...nal&plcid=1103
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRA~1\DAP\dapiebar.dll (file missing)
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\RECYCLED\DC12482\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\System32\ADV.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\System32\ADV.dll (file missing)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: exif launcher.lnk = C:\Programme\Exif Launcher\QuickDCF.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O13 - WWW. Prefix: http://
O16 - DPF: Win32 Classes - file://C:\WINNT\Java\classes\win32ie4.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25c11135...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

Was kann ich tun?

Falls die Systemwiederherstellung deaktiviert werden muss - wie funtioniert das unter NT? :(

Vielen Dank schon mal im voraus für eventuelle Hilfe. :)

Zuerst besuche mal www.windowsupdate.com und installiere dir alle
Patches und Updates.

Anschließend fixe mit HijackThis dies:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://thenewsearch.com/thenewsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://thenewsearch.com/thenewsearch.html
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O2 - BHO: MyWay Search Assistant BHO -
{04079851-5845-4dea-848C-3ECD647AA554} -
C:\RECYCLED\DC12482\SrchAstt\1.bin\MYSRCHAS.DLL (file missing
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} -
C:\WINNT\System32\ADV.dll (file missing)
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} -
C:\WINNT\System32\ADV.dll (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O13 - WWW. Prefix: http://
O16 - DPF: Win32 Classes - file://C:\WINNT\Java\classes\win32ie4.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...l_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25c1113...RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab

Lösche deine Temp. Internet Files.

Hallo johncage77,

MSIE: Internet Explorer v5.50 (5.50.4134.0600) - Du verwendest eine antike Version des IE, besuche bitte: www.windowsupdate.com

Boote in den abgesicherten Modus, fixe mit Hijack This:

C:\Programme\Exif Launcher\QuickDCF.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://thenewsearch.com/thenewsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://thenewsearch.com/thenewsearch.html
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRA~1\DAP\dapiebar.dll (file missing)
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} -
C:\RECYCLED\DC12482\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\System32\ADV.dll (file missing)
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} -
C:\WINNT\System32\ADV.dll (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O13 - WWW. Prefix: http://
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet
Settings,ProxyOverride = 127.0.0.1;
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O16 - DPF: Win32 Classes - file://C:\WINNT\Java\classes\win32ie4.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} -
ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe
Boote in den normalen Modus.
Beende:

QuickDCF.exe

Ich sehe leider keinerlei Spuren des eScan auf Deinem Rechner. Daher folgender Tipp: lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht mehr automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan 4.5.1: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" (Zitat Cidre)

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD

Vielen Dank für eure Antworten, ich mache mich mal an die Arbeit...

Leider gibt es unter WIN NT anscheinend keinen abgesicherten Modus - un nu? :o

@ johncage77

[Zitat http://www.trojaner-board.de/63335-w...s-starten.html]

"Windows NT bis Version 4.0 kennt keinen Abgesicherten Modus. Es gibt jedoch zumindest einen VGA-Modus, der bei fehlerhaften Grafik-Treibern Abhilfe schaffen kann. Dieser VGA-Modus kann im Auswahl-Menü des Boot-Managers, das bei jedem Systemstart erscheint, ausgewählt werden." ( bitte obigen Link anklicken, dort wird dann erklärt, wie es weitergeht).

SD

Soooooo...

eScan sagt dies:

File C:\TEMP\backups\backup-20041018-154659-662 infected by "Exploit. HTML.Mht" Virus. Action taken: File renamed.

Hier das Hijack This Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 16:40:25, on 18.10.04
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cpqalert.exe
C:\WINNT\CPQDIAG\CPQDFWAG.EXE
C:\Programme\COMPAQ\CpqWebDMI\webdmi.EXE
C:\Programme\Compaq\LCRMS\LCRMS.EXE
C:\WINNT\system32\RpcSs.exe
C:\WINNT\System32\esserver.exe
c:\winnt\system32\pstores.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\SENS.EXE
c:\dmi\win32\bin\Win32sl.exe
C:\WINNT\System32\cpqdmi.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\SysTray.Exe
C:\WINNT\System32\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\ROLAND\WinZip\winzip32.exe
C:\TEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.200:3128
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O13 - WWW. Prefix: http://

@ johncage77,

C:\WINNT\System32\cpqalert.exe
C:\WINNT\System32\esserver.exe
C:\WINNT\System32\SENS.EXE
C:\WINNT\System32\cpqdmi.exe

sind Prozesse, die ich nirgends finde. Kannst Du sie bitte noch mit dem Online-Scan von Kaspersky überprüfen? Teile uns bitte das Ergebnis mit und sende die Dateien an partytime-germany.ice@web.de mit Verweis auf diesen Thread.

Fixe bitte noch mit Hijack This im VGA-Modus:

O13 - WWW. Prefix: http://

SD

Erledigt, nochmals danke.

Jetzt sieht´s so aus:

Logfile of HijackThis v1.98.2
Scan saved at 17:59:55, on 18.10.04
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cpqalert.exe
C:\WINNT\CPQDIAG\CPQDFWAG.EXE
C:\Programme\COMPAQ\CpqWebDMI\webdmi.EXE
C:\Programme\Compaq\LCRMS\LCRMS.EXE
C:\WINNT\system32\RpcSs.exe
C:\WINNT\System32\esserver.exe
c:\winnt\system32\pstores.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\SENS.EXE
c:\dmi\win32\bin\Win32sl.exe
C:\WINNT\System32\cpqdmi.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\SysTray.Exe
C:\WINNT\System32\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\ROLAND\WinZip\winzip32.exe
C:\TEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...5.5&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.200:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min

@johncage77

Was hat denn die überprüfung der dir von Shadowdance genannten Dateien ergeben?

Ausserdem solltest du www.windowsupdate.com besuchen und dir den aktuellen Internet Explorer, sowie alle patches herunterladen.

@ Lidius:

Die Dateien sind laut Kaspersky alle ok.

Heute mache ich mich an die Updates und Patches.

Ein großes Dankeschön an alle Helfer!!!