Hab mir laut Antivir 2 Trojaner eingefangen

TR/DLDR.i.will.o

TR/DLDR.ISTBAR.

Kann leider keine Hijack This logs posten

Hab aber diverse Eintraege die wie folgt lauten

R1-HKCU\Software\Microsoft\InternetExplorer
\SearchUrl=http\\weba.directwebsearch.net\search.html


Hab versucht diese Eintraege zu loeschen mit Hijack This, sind aber leider nach jedem Neustart wieder vorhanden. Leider spinnt auch seitdem meine Tastatur. Diverse Umlaute hier oder verkehrte Slashzeichen sind nicht gewollt.

Hab Ad Aware, CWS Schredder, Antivir alles schon probiert, leider ohne dauerhaften Erfolg.

Danke schon mal im Voraus fuer Eure Hilfe

Ohne Hijack-Log wird's wohl schwer werden.

Könntest du ein Log liefern, können wir dir genau sagen, was du fixen sollst.

Hi Christian

Bin leider kein PC Profi. kann die Logs leider nicht Kopieren und pasten . Brauch wohl noch nen spezielles Programm dazu. Spaetestens morgen hoffe ich das Logfile posten zu koennen.

Danke

Nein, Log einfach abspeichern "Save log".
Danach Log öffnen und den Text hier reinkopieren.

hmmm das ist eigentlich gar nicht so schwer...

wenn du die log datei (textfile) mit dem editor öffnest (sollte automatisch funktionieren wenn nicht öffnen mit...editor oder wordpad) dann den gesamten text markieren und anschließend Strg+C drücken (damit kopierst du den Text in die Zwischenablage) in dem post-fenster im Forum drückst du dann Strg+V (damit fügst du den Text aus der Zwischenablage ein) und der Text sollte erscheinen

ja... christian war schneller...

Super, also, hier das Logfile

Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Anwendungen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://weba.directwebsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://weba.directwebsearch.net/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://weba.directwebsearch.net/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
O1 - Hosts: 69.31.79.101 auto.search.msn.com
O1 - Hosts: 69.31.79.101 auto.search.msn.com
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [winupd] C:\WINNT\system32\winupd.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Rctw] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.101/winsearchie32.ch...searchie32.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...166.3068981481
O17 - HKLM\System\CCS\Services\Tcpip\..\{8606B805-A1AA-4CCA-B415-19ADEDFF31BC}: NameServer = 217.237.150.33 194.25.2.129

Moin Moin,

Wie deaktiviere ich denn die SYtemwiederherstellung bei Windows 2000.

Hab versucht das wie unter dem link angegeben, doch bei Sytemwiederherstellung hab ich keine Eintraege gefunden die Ich deaktivieren koennte.

Win2000 'kennt' keine Systemwiederherstellung!
Übergehe bitte diesen Punkt.

Fixe dafür mit HijackThis auch noch folgendes:
</font><blockquote>Zitat:</font><hr />
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.101/winsearchie32.ch...searchie32.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - ht*p://www.mt-download.com/MediaTicketsInstaller.cab
</font>[/QUOTE]

opps richtig habe gar nicht nach dem betriebssystem geschaut!!

hat der rest den funktioniert??

1.zunächst solltest du escan runterladen:
http://www.mwti.net/antivirus/free_utilities.asp
(entpacken in einen von dir erstellten ordner namens c:\bases

2. escan updaten (kavupd.exe ausführen)

3. systemwiderherstellung deaktivieren http://www.systemwiederherstellung-d...indows-xp.html

4. Windows im abgesicherten modus neu starten http://www.bsi.de/av/texte/winsave.htm#WindowsXP

5. Das Programm aus 1. ausführen (kvss.exe)

anschließend folgende einträge mit HijackThis fixen (fix checked)

alle einträge R0 und R1 und O1

anschließend neustart und neues hjt log file hier posten

mit dieser wuam.exe bin ich mir nicht sicher soll mal einer was zu sagen

oha wichtig noch vergessen:

beim escan bitte alle häckchen setzen!!!

bild dazu im 3. beitrag von oben in diesem forum

Radja

hab alles gemacht, nur leider kann ich irgendwie nicht in den Abgesichererten Modus. Wenn das so wie bei Win 98 Se ist dann beim Hochfahren F8 drücken, oder?

Nun da kommt leider nur die Frage von wo ich aus Booten will und bekom nur Floppy , Ide, USB und die beiden Laufwerke angeboten. von "Abgesichertem Modus " nichts zu sehen.

Irgendwelche Tips hierzu?

Gruss

BigMitt

Abgesicherter Modus

voregehen wie hier beschrieben http://www.bsi.de/av/texte/wiederher_95982000.htm

ähmm ja nangie hats auch schon gepostet

Also, nun hat es so geklappt wie Ihr das vorgeschlagen habt.

Leider waren die Einträge wieder drauf.

Hier mein letztes logfile:

Logfile of HijackThis v1.97.7
Scan saved at 23:29:14, on 29.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\bases\mwav\mwavscan.com
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\internat.exe
C:\bases\mwav\kavss.exe
D:\Anwendungen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://weba.directwebsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://weba.directwebsearch.net/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://weba.directwebsearch.net/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
O1 - Hosts: 69.31.79.101 auto.search.msn.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [winupd] C:\WINNT\system32\winupd.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwav\mwavscan.com" /s
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab


Bekomm den einfach nicht raus.

*langsam Panik bekomm*