Hallo, Kann mir jemand vieleicht helfen?

Nach jedem neustart habe ich eine nichtgewollte IE Startpage.
Bei dem versuch mit dem internet zu connecten springt Antivir an

Ist das Trojanische Pferd TR/Dldr.Iwill.O
Ist das Trojanische Pferd TR/Small.Dld.FO
Anivir bietet an die dateien zu löschen was ich auch tue dann ändere ich mal wieder die startpage und nach jedem neustart das gleiche spiel

http://weba.directwebsearch.net/index.html ist die nichtgewollte.

Habe schon sämtliches ohne erfolg probiert. hijackthis soll helfen aber wie?

über TR/Dldr.Iwill.O und TR/Small.Dld.FO habe ich nirgends brauchbare infos gefunden.

Danke

Gruß Xelo

Willkommen im Forum!

Bitte lass doch mal diesen Scanner im abgesicherten Modus über dein System laufen:
http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte ein HijackThis-Log.

Tausend und einen Dank Christian!
Nachdem ich Free eScan Antivirus hab durchlaufen lassen siehe da ........Ta Da ! ! !

File C:\WINDOWS\System32\winupd.exe infected by "TrojanDropper.Win32.Small.ig" Virus. Action Taken: File Deleted.

Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupd deleted because it is infected by a Virus

File C:\WINDOWS\Downloaded Program Files\on-line.exe infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: File Deleted.

Jetzt ist alles wieder Ok!

Vielen dank!

Gruß Xelo

Melde mich zurück mit neuen fragen!

Nachdem ich es nun endlich dank Free eScan Antivirus und natürlich *Christian* geschafft habe meine Startseite zurückzubekommen
Tritt noch folgendes problem auf!

Sobald ich in die Adressleiste des Internetexplorers eine adresse eingebe die es nicht gibt z.B www.blkl.de wechselt der explorer auf
http://auto.search.msn.com/response....h=5&prov=&utf8
(Wohlgemerkt nur dann wenn die adresse mit www beginnt wenn http davor ist nicht)
und mein Antivir meldet
das irgendeine *.exe datei das Trojanische Pferd "TR/Drop.Delf.DJ.3" ist
und bietet die option diese zu löschen, sonst passiert weiter nichts.

Die Frage ist nur wiso das passiert ?

Bitte um Rat !
Freundlichsten dank
Xelo

Zitat:

Zitat von Xelo

und mein Antivir meldet
das irgendeine *.exe datei das Trojanische Pferd "TR/Drop.Delf.DJ.3"

Antivir sagt Dir bestimmt auch Name und Pfad der Datei. Bitte mal posten und auch mal einen HJT-Log posten (s. Signatur).

Gruß
Yopie

Hi @ all,

AntiVir von H+BEDV meldete mir den Trojaner TR/Drop.Delf.DJ.3
Die Frage ob das Teil in Quarantäne soll habe ich bejaht. So weit so gut.

Das Ding findet sich nun unter C:\Programme\AVPersonal\Infected\BT81X85G.exe.vir

Kann ich den jetzt "einfach" löschen? Oder wie sollte ich vorgehen?

Danke!

Organic

Ich hab Antivir jetzt nicht installiert, aber du müsstest, wenn du das programm startest, auch irgendwo ansehen können, was sich in der Quarantäne befinden und das kannst du dann auch löschen.

Poste zur Sicherheit mal ein HJT-Log und lass e-Scan durchlaufen:

http://www.trojaner-board.de/51130-a...ijackthis.html
http://www.trojaner-board.de/42731-escan-anleitung.html

Hi MountainKing,

hier das HJT Log:

Logfile of HijackThis v1.98.2
Scan saved at 15:31:45, on 11.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Internet\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rp-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.rp-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093598415236

Der ist wohl sauber.

eScan werde ich gleich machen, denke aber das wird schon ok sein. Sollte der Scan allerdings noch was ergeben melde ich mich umgehendst. Wollte eigentlich nur wissen ob ich das Teil gefahrlos aus der Quarantäne löschen kann. Ich hatte sowas noch nie.

Somit ist Deine Frage wohl schon beantwortet. Vielen Dank.

Organic