Hi BigMitt,

lass doch mal bitte die winupd.exe bei Kaspersky prüfen:
http://www.kaspersky.com/de/scanforvirus

Hi Radja

Kaspersky Online hat in der winupd.exe folgenden Trojaner gefunden:

TrojanDropper.Win32.Small.ig
Wie geh ich weiter vor?

Zitat:

Zitat von BigMitt

Kaspersky Online hat in der winupd.exe folgenden Trojaner gefunden:
TrojanDropper.Win32.Small.ig
Wie geh ich weiter vor?

Hallo BigMitt,

• aktualisiere bitte eScan. (siehe Signatur).
• Boote den Rechner im abgesicherten Modus neu
• Fixe mit HijackThis folgendes:
  
  
  
  
  Zitat:

  R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h*tp://weba.directwebsearch.net/search.html
  
  
  
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h*tp://weba.directwebsearch.net/search.html
  
  
  
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://weba.directwebsearch.net/search.html
  
  
  
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://weba.directwebsearch.net/index.html
  
  
  
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://weba.directwebsearch.net/search.html
  
  
  
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h*tp://weba.directwebsearch.net/search.html
  
  
  
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h*tp://weba.directwebsearch.net/search.html
  
  
  
  R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = h**p://weba.directwebsearch.net/search.html
  
  
  
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://weba.directwebsearch.net/index.html
  
  
  
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://weba.directwebsearch.net/search.html
  
  
  
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://weba.directwebsearch.net/search.html
  
  
  
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://weba.directwebsearch.net/search.html
  
  
  
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://weba.directwebsearch.net/search.html
  
  
  
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h*tp://weba.directwebsearch.net/search.html
  
  
  
  R1 - HKCU\Software\Microsoft\Internet Explorer,Search = h*tp://weba.directwebsearch.net/search.html
  
  
  
  R1 - HKLM\Software\Microsoft\Internet Explorer,Search = h*tp://weba.directwebsearch.net/search.html
  
  
  
  O1 - Hosts: 69.31.79.101 auto.search.msn.com
  
  
  
  
  
  
  
  O4 - HKLM\..\Run: [winupd] C:\WINNT\system32\winupd.exe
  
  
  

• Scanne den kompletten Rechner noch einmal mit eScan (immer noch im abgesicherten Modus
• Boote den Rechner neu
• Erstelle ein neues Log

So, scheint nun endlich gefunzt zu haben. Die webdirect Einträge sind zumindest nicht mehr da *freu*

Poste hier nun trotzdem nochmal das Logfile des letzten scans:

Logfile of HijackThis v1.98.0
Scan saved at 22:18:18, on 30.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINNT\system32\internat.exe
D:\Anwendungen\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwav\mwavscan.com" /s
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

Danke Euch, vor allem Radja und Lutz

Gruss, BM

Das Log lässt jetzt jedenfalls nichts verdächtiges mehr erkennen!
Good luck!

jo freut mich auch, dass es nun endlich geklappt hat. danke auch an lutz!

VIELEN DANK!!!

hatte ein ähnliches problem, hab irrsinnig lang nach einer lösung gesucht, und
hab sie hier gefunden!

DANKE!

mfg bravo07