Danke Danke:  0
Ergebnis 1 bis 6 von 6

Thema: win32.delf-hws

  1. #1
    Neuzugang
    Registriert seit
    Feb 2008
    Beiträge
    3
    Danke / Gefällt mir

    win32.delf-hws

    hallo,

    seit einigen tagen meldet avast wiederkehrend den virus win32.delf-hws in system32/andt.sys

    ließ sich zunächst jedoch weder in quarantäne verschieben, noch löschen.

    bin hier auf einen gleichlautenden beitrag vom 29.1.08 gestoßen und habe die dort angegebenen maßnahmen ausgeführt:

    - die Systemwiederherstellung ausschalten
    - eine Boot-Zeit-Prüfung machen...

    anschließend war der rechner virenfrei... nach einigen stunden erscheint die meldung jedoch erneut.

    habe nun, wie im genannten beitrag empfohlen, ein highjacklogfile erstellt:

    Logfile of HijackThis v1.99.1
    Scan saved at 12:42:03, on 05.02.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16574)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\ASUS\ASUS Live Update\ALU.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
    C:\Programme\ASUS\Splendid\ACMON.exe
    C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    C:\Programme\FreePDF_XP\fpassist.exe
    C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
    C:\WINDOWS\system32\ACEngSvr.exe
    C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\ASUS\Net4Switch\Net4Switch.exe
    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\Last.fm\LastFMHelper.exe
    C:\Programme\ASUS\Asus MultiFrame\MultiFrame.exe
    C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\perfs.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\System32\PAStiSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\PROGRA~1\Mozilla Firefox\firefox.exe
    C:\Programme\highjackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd
    O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe
    O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe "
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [updateMgr] c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
    O4 - HKCU\..\Run: [Net4Switch] C:\Programme\ASUS\Net4Switch\Net4Switch.exe
    O4 - HKCU\..\Run: [Netlog 24] C:\Programme\Netlog 24\Notifier\Netlog24Notifier.exe
    O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
    O4 - Global Startup: MultiFrame.lnk = ?
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: iOpus iMacros - {0483894E-2422-45E0-8384-021AFF1AF3CD} - C:\Programme\iMacros\imacros.dll (file missing)
    O9 - Extra 'Tools' menuitem: iMacros Web Automation - {0483894E-2422-45E0-8384-021AFF1AF3CD} - C:\Programme\iMacros\imacros.dll (file missing)
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4EC4AAAD-8BDC-42EA-92C7-74F46E2644D6}: NameServer = 62.109.123.197 213.191.74.19
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\WINDOWS\system32\perfs.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

    kann mir bitte jemand sagen was mit meinem rechner los ist und vorallem, wie ich das regeln kann? und zwar so, daß es auch doofe verstehen :?: ich habe nämlich NULL ahnung von den ganzen prozessen die im rechner ablaufen :shock: ops:

    DANKE

  2. #2
    Junior Mitglied
    Registriert seit
    Nov 2007
    Beiträge
    82
    Danke / Gefällt mir

    Re: win32.delf-hws

    Geb das alles mal bei http://www.hijackthis.de/index.php (weiter unten im freiem Feld reinkopieren) ein, weil da ist einiges anbei was wichtig ist.
    Und einfachso Sachen entfernen ist ja gefährlich.

    Sah grad daß für AVAST Files auf "missing" sind... läuft das Programm richtig bei Dir?

    Gratulation nebenher für Deinen Account bei LastFM

  3. #3
    Globaler Moderator Avatar von Catweezel
    Registriert seit
    Feb 2006
    Ort
    Berlin
    Beiträge
    2.791
    Danke / Gefällt mir

    Re: win32.delf-hws

    Zitat Zitat von Canaris101
    Geb das alles mal bei http://www.hijackthis.de/index.php (weiter unten im freiem Feld reinkopieren) ein, weil da ist einiges anbei was wichtig ist.
    Und einfachso Sachen entfernen ist ja gefährlich.
    ...und muss auch nicht unbedingt was bringen !

    @elbebeach
    dies
    C:\WINDOWS\system32\perfs.exe
    und dies
    O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\WINDOWS\system32\perfs.exe
    wie du in der Logfileauswertung bei Hijackthis wahrscheinlich auch siehst, richtet bei dir den Schaden an.
    Muss dann irgendwas in Richtung Backdoor sein. Mein Rat: ...neu aufsetzten !

    Du kannst dich natürlich auch an andere Foren wenden, wo es Spezies gibt, die so einen Befall "wahrscheinlich" wegbekommen . Oft kann man dann mit 95 verschiedenen Scannern in massenhaften Postings entsprechende Anzahl Logfiles posten, deren Auswertung und Maßnahmen manchmal zum Erfolg führen.
    ...was u.U. genauso lange dauern kann, wie eine Neukonfig. des Rechners.

    Gruß Catweezel

  4. #4
    Neuzugang
    Registriert seit
    Feb 2008
    Beiträge
    3
    Danke / Gefällt mir

    Re: win32.delf-hws

    Zitat Zitat von Catweezel
    C:\WINDOWS\system32\perfs.exe
    und dies
    O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\WINDOWS\system32\perfs.exe
    wie du in der Logfileauswertung bei Hijackthis wahrscheinlich auch siehst, richtet bei dir den Schaden an.
    Muss dann irgendwas in Richtung Backdoor sein. Mein Rat: ...neu aufsetzten !

    ...was u.U. genauso lange dauern kann, wie eine Neukonfig. des Rechners.

    Gruß Catweezel
    herzlichen dank erstmal für die prompte antwort.

    damit ich das auch richtig verstehe... du rätst mir zu format c und windows neu installieren? wie erwähnt, ich kann mit meinen progs 1a umgehen aber was dahinter steckt... bömische dörfer...

  5. #5
    Neuzugang
    Registriert seit
    Feb 2008
    Beiträge
    3
    Danke / Gefällt mir

    Re: win32.delf-hws

    Zitat Zitat von Canaris101
    Sah grad daß für AVAST Files auf "missing" sind... läuft das Programm richtig bei Dir?

    Gratulation nebenher für Deinen Account bei LastFM
    danke für die antwort und die glückwünsche...

    naja, das mit dem programm richtig laufen... ich bin bisher zumindest davon ausgegangen... es "erzählt" wenn es seine aktualisierungen ausgeführt hat... es meckert wenn ich auf ne seite zugreifen will die seiner meinung nach schädlich sein könnte... und scans führt es auch aus... und es jammert dauernd über diesen dämliche virus... sollte es sonst noch was können?

    das einzige was es nicht tut, ist mir zu verraten was dieser virus bewirkt... aber das tut google auch nicht... :?

  6. #6
    Globaler Moderator Avatar von Catweezel
    Registriert seit
    Feb 2006
    Ort
    Berlin
    Beiträge
    2.791
    Danke / Gefällt mir

    Re: win32.delf-hws

    Zitat Zitat von elbebeach
    das einzige was es nicht tut, ist mir zu verraten was dieser virus bewirkt... aber das tut google auch nicht... :?
    na ja, man muss etwas suchen
    Das mit dem Neuaufsetzen - vielleicht solltest du dich mit dem Gedanken vertraut machen.
    hierzu
    O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\WINDOWS\system32\[color=#BF0000]perfs.exe[/color]
    [color=#0000FF]guckst du hier[/color]


    Gruß Catweezel

Ähnliche Themen

  1. Geschlossen Win32:Delf-Nem...
    Von Anne79 im Forum Virenmeldungen
    Antworten: 4
    Letzter Beitrag: 14.03.11, 20:18
  2. Geschlossen Virus Dropper-CPD [drp] und Delf-NEM [drp]
    Von Bella im Forum Virenmeldungen
    Antworten: 6
    Letzter Beitrag: 14.07.10, 15:45
  3. Geschlossen Trojaner "Win32:Delf-KMP [Trj]" gefunden
    Von Urmel im Forum Virenmeldungen
    Antworten: 6
    Letzter Beitrag: 19.06.08, 10:41
  4. Geschlossen win32:delf-hws
    Von dem im Forum Virenmeldungen
    Antworten: 3
    Letzter Beitrag: 30.01.08, 19:51
  5. Geschlossen Trojanerwarnung"Win32: Delf-BSB" ???
    Von susu im Forum Avast 4.x
    Antworten: 4
    Letzter Beitrag: 15.12.06, 22:25

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •