Hallo, Kann mir jemand vieleicht helfen?

Nach jedem neustart habe ich eine nichtgewollte IE Startpage.
Bei dem versuch mit dem internet zu connecten springt Antivir an

Ist das Trojanische Pferd TR/Dldr.Iwill.O
Ist das Trojanische Pferd TR/Small.Dld.FO
Anivir bietet an die dateien zu löschen was ich auch tue dann ändere ich mal wieder die startpage und nach jedem neustart das gleiche spiel

http://weba.directwebsearch.net/index.html ist die nichtgewollte.

Habe schon sämtliches ohne erfolg probiert. hijackthis soll helfen aber wie?

über TR/Dldr.Iwill.O und TR/Small.Dld.FO habe ich nirgends brauchbare infos gefunden.

Danke

Gruß Xelo

Willkommen im Forum!

Bitte lass doch mal diesen Scanner im abgesicherten Modus über dein System laufen:
http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte ein HijackThis-Log.

Tausend und einen Dank Christian!
Nachdem ich Free eScan Antivirus hab durchlaufen lassen siehe da ........Ta Da ! ! !

File C:\WINDOWS\System32\winupd.exe infected by "TrojanDropper.Win32.Small.ig" Virus. Action Taken: File Deleted.

Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupd deleted because it is infected by a Virus

File C:\WINDOWS\Downloaded Program Files\on-line.exe infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: File Deleted.

Jetzt ist alles wieder Ok!

Vielen dank!

Gruß Xelo

Melde mich zurück mit neuen fragen!

Nachdem ich es nun endlich dank Free eScan Antivirus und natürlich *Christian* geschafft habe meine Startseite zurückzubekommen
Tritt noch folgendes problem auf!

Sobald ich in die Adressleiste des Internetexplorers eine adresse eingebe die es nicht gibt z.B www.blkl.de wechselt der explorer auf
http://auto.search.msn.com/response....h=5&prov=&utf8
(Wohlgemerkt nur dann wenn die adresse mit www beginnt wenn http davor ist nicht)
und mein Antivir meldet
das irgendeine *.exe datei das Trojanische Pferd "TR/Drop.Delf.DJ.3" ist
und bietet die option diese zu löschen, sonst passiert weiter nichts.

Die Frage ist nur wiso das passiert ?

Bitte um Rat !
Freundlichsten dank
Xelo

Zitat:

Zitat von Xelo

und mein Antivir meldet
das irgendeine *.exe datei das Trojanische Pferd "TR/Drop.Delf.DJ.3"

Antivir sagt Dir bestimmt auch Name und Pfad der Datei. Bitte mal posten und auch mal einen HJT-Log posten (s. Signatur).

Gruß
Yopie

Hi @ all,

AntiVir von H+BEDV meldete mir den Trojaner TR/Drop.Delf.DJ.3
Die Frage ob das Teil in Quarantäne soll habe ich bejaht. So weit so gut.

Das Ding findet sich nun unter C:\Programme\AVPersonal\Infected\BT81X85G.exe.vir

Kann ich den jetzt "einfach" löschen? Oder wie sollte ich vorgehen?

Danke!

Organic

Ich hab Antivir jetzt nicht installiert, aber du müsstest, wenn du das programm startest, auch irgendwo ansehen können, was sich in der Quarantäne befinden und das kannst du dann auch löschen.

Poste zur Sicherheit mal ein HJT-Log und lass e-Scan durchlaufen:

http://www.trojaner-board.de/51130-a...ijackthis.html
http://www.trojaner-board.de/42731-escan-anleitung.html

Hi MountainKing,

hier das HJT Log:

Logfile of HijackThis v1.98.2
Scan saved at 15:31:45, on 11.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Internet\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rp-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.rp-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093598415236

Der ist wohl sauber.

eScan werde ich gleich machen, denke aber das wird schon ok sein. Sollte der Scan allerdings noch was ergeben melde ich mich umgehendst. Wollte eigentlich nur wissen ob ich das Teil gefahrlos aus der Quarantäne löschen kann. Ich hatte sowas noch nie.

Somit ist Deine Frage wohl schon beantwortet. Vielen Dank.

Organic

Hallo Organic,

wenn Dir diese beiden Seiten nicht bekannt sind, solltest Du sie im abgesicherten Modus mit Hijack This fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rp-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.rp-online.de/

SD

Hallo Shadowdance,

die URL ist mir bekannt und vertrauenswürdig.

Vielen Dank!

Aber mal eine andere Frage. Da ich den IE nie nutze (außer MS Updates) müßte ich den R0 Eintrag doch trotzdem bedenkenlos fixen können, oder?

Schon Mal Danke!

Organic

@ Shadowdance

Was hast du denn gegen die Rheinische Post? Ok, sie haben damals einen grauenvollen Artikel über Counterstrike geschrieben, von daher....


@ Organic

Das kannst du problemslos fixen, auch wenn du den IE verwendest, du müsstest dann lediglich wieder eine neue Startseite vergeben, falls die die leere nicht gefällt.
Die Frage wäre noch, wie und wo der Trojaner gefunden wurde, in einem deiner Downloads? Oder in einem Skript? Damit man es für die Zukunft evtl. verhindern kann.

@ Organic,

Du kannst selbstverständlich beide Einträge fixen. Allerdings solltest Du dann eine andere vertrauenswürdige Startpage wählen, da Du den IE für die windows updates verwendest.

SD

[edit] hi MountainKing

Zitat:

Zitat von MountainKing

Was hast du denn gegen die Rheinische Post?

jo mei .. woher weiss ich denn, dass diese URL der Rheinischen Post gehört? Ich habe schlechte Erfahrung damit, die Spur unserer User allzu intensiv zu verfolgen ... so gern setze ich mein OS nun auch wieder nicht neu auf.

@ MountainKing,

der Fiesling ist über eine selbstgebrannte Software CD auf meinen Rechner geraten. Man kann nicht vorsichtig genug sein! Da ich aber grundsätzlich nur mit eingeschränkten Rechten surfe und meistens auch arbeite war das nicht so schlimm.

Danke!

Das "Danke" gilt selbstverständlich auch Dir Shadowdance.

Organic

PS: Wie kann ich die Links in meiner Signatur aktivieren?

Zitat:

Zitat von Organic

Wie kann ich die Links in meiner Signatur aktivieren?

Wenn Du im Kontrollzentrum bist, gehst Du auf "Signatur ändern". Siehst Du oberhalb des Textfeldes die Symbol-Leiste? Du findest dort auch dieses Symbol: , klick drauf, gib erst den Namen des Links ein und dann den eigentlichen Link. Das ist es schon. Noch bestätigen, damit hast Du aktivierte Links. Bei "Zusätzliche Einstellungen" fügst Du noch Häkchen ein, bei "Signatur anzeigen" und "Links automatisch umwandeln" ... Versuch's mal.

SD

Links sind jetzt aktiv. Danke @ Shadowdance!

Organic