Hilfe - ich kann nicht wirklich was finden in den Suchemaschine:

Mein Betriebssystem Windows2000 Prof.

Ich bekomme unter anderem folgende Meldung von AntiVir:

Datei JS/Dldr.ObJeCt

was ist das? HILFE - seit drei Tagen sitze ich nur noch und fummel an meinem Rechner rum.
Das ist auch nur eine von vielen Fehlermeldungen.

Ich habe aber vor drei Tagen erst alles neu installiert. Als Browser nutze ich jetzt Mozilla Firefox - Mailprogramm Outlook - Virusprogramm AntiVir - Firewall habe ich noch nichts richtiges gefunden.
Vielleicht ist ja jemand da, der mir helfen kann. Außerdem öffnen sich immer zwei Internetseiten, die ich in meinem Leben noch nicht gesehen habe.

Im Voraus möchte ich mich schon mal bei allen Helfern bedanken!

Moin Berlini!

Lad dir mal HijackThis von hier www.hijackthis.de runter.

Dann scanst du damit dein System und das Log postest du dann bitte wieder hier.

Dann können wir dir weiterhelfen!

Okay - mache ich gleich mal wenn ich zu Hause bin - hoffe Ihr könnt mir helfen

So - hier nur der Logfile ! Ich hoffe, es kann jemand was rauslesen

Logfile of HijackThis v1.98.2
Scan saved at 15:33:20, on 17.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Dokumente und Einstellungen\mb\Anwendungsdaten\adot.exe
C:\WINNT\system32\d?dplay.exe
C:\WINNT\system32\wuauclt.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\winloggs.exe
C:\msnsetup7.exe
C:\svchosts.exe
C:\unzipped\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3BA8310B-E01C-5ECD-8756-64550DF32941} - C:\WINNT\system32\cebqsiw.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows debug logging] winloggs.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Windows debug logging] winloggs.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows debug logging] winloggs.exe
O4 - HKCU\..\Run: [Ettt] C:\Dokumente und Einstellungen\mb\Anwendungsdaten\adot.exe
O4 - HKCU\..\Run: [Wni] C:\WINNT\system32\d?dplay.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...3238164bc28671
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7720A2AF-F44F-4B7C-93F2-F6699F211EE5}: NameServer = 195.88.140.15 194.29.226.17



Nochmals vielen Dank im Voruas

C:\svchosts.exe

Das ist auf jeden fall ein Trojaner/Wurm

Der dienst darf nur in c:\windows\system32 laufen


Lad dir escan runter update ihn nach der beschreibung dann gehst du in den abgesicherten modus und scanst deinen pc.
http://www.trojaner-board.de/42731-escan-anleitung.html


Wichtig: du mußt die optionen scan all drives und scan all files aktivieren!
das ergebnis dann hier wieder posten

der scan kann 1-2 stunden dauern

ich habe auf der platte außerdem noch windows 98 installiert. daran liegt es dann aber nicht - oder?

gut ich lade mir das jetzt mal runter und schaue mal was dann für ein ergebnis rauskommt.

danke dir

so - ich habe jetzt mein System (Windows2000) zum wiederholten Male neu aufgespielt - habe dann nur das Windowsupdate gefahren, dann escan durchlaufen lassen:

hier nun mein ergebnis
HILFE HILFE HILFE

- habe nur die daten mit infected rauskopiert -

Mon Nov 22 08:03:05 2004 => File J:\WINNT\3_0_1browserhelper3.dll infected by "TrojanClicker.Win32.Delf.z" Virus. Action Taken: No Action Taken.
Mon Nov 22 08:03:05 2004 => File J:\WINNT\neti.dll infected by "TrojanSpy.Win32.Spung.a" Virus. Action Taken: No Action Taken.
Mon Nov 22 08:03:20 2004 => File J:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.
Mon Nov 22 08:03:20 2004 => File J:\WINNT\neti.dll infected by "TrojanSpy.Win32.Spung.a" Virus. Action Taken: No Action Taken.
Mon Nov 22 08:03:20 2004 => File J:\WINNT\3_0_1browserhelper3.dll infected by "TrojanClicker.Win32.Delf.z" Virus. Action Taken: No Action Taken.
Mon Nov 22 08:03:22 2004 => File J:\PROGRA~1\COMMON~1\updater\wupdater.exe infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
Mon Nov 22 08:03:22 2004 => File J:\WINNT\subst.exe infected by "Trojan.Win32.StartPage.nv" Virus. Action Taken: No Action Taken.
Mon Nov 22 08:03:32 2004 => File J:\WINNT\neti.dll infected by "TrojanSpy.Win32.Spung.a" Virus. Action Taken: No Action Taken.
Mon Nov 22 08:03:32 2004 => File J:\WINNT\3_0_1browserhelper3.dll infected by "TrojanClicker.Win32.Delf.z" Virus. Action Taken: No Action Taken.
Mon Nov 22 08:03:32 2004 => File J:\WINNT\smss.exe infected by "Trojan.Win32.StartPage.nv" Virus. Action Taken: No Action Taken.
Mon Nov 22 08:03:33 2004 => File J:\WINNT\subst.exe infected by "Trojan.Win32.StartPage.nv" Virus. Action Taken: No Action Taken.
Mon Nov 22 08:09:26 2004 => File C:\WINDOWS\Anwendungsdaten\Thunderbird\Profiles\t2y2j21v.default\Mail\Local Folders\Inbox infected by "I-Worm.NetSky.d" Virus. Action Taken: No Action Taken.
Mon Nov 22 08:12:30 2004 => File C:\msnsetup5.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.


bitte helft mir - ich weiß jetzt nicht mehr weiter - außer kiste aus fenster werfen

Hallo berlini,

Zitat:

Zitat von berlini

Mon Nov 22 08:03:05 2004 => File J:\WINNT\3_0_1browserhelper3.dll infected by "TrojanClicker.Win32.Delf.z" Virus. Action Taken: No Action Taken.

es tut mir leid, Dir mitteilen zu müssen, dass Du nocheinmal formatieren musst. Du hast einen Trojaner auf dem Rechner, der Tastenfolgen speichert und sie per eMail ab Dritte versendet. Um sicher zu sein, dass dieser und alle anderen Viren von Deinem Rechner dauerhaft entfernt sind, rate ich Dir Dein System noch einmal neu aufzusetzen .. auf einer total gereinigten Unterlage.

Information zu TrojanSpy.Win32.Delf.-->'Erläuterung" und "Erweitert" beachten.

Beachte Lutz Rat zur Datensicherung, und halte Dich an Cidre's Empfehlung, abzüglich der Punkte, die für Win2000 nicht zutreffen:

Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Hier noch ein Rat von Cobra zum sicheren Einrichten von Windows2000.

SD

Vielen Dank!
Nachdem ich stundenlang rumgefummelt habe - und dank regcleaner den rest bearbeitet habe, sagte escan beim letzten Durchlauf nichts mehr an - außer ein paar Sachen mit dem Vermerk "not-a-virus" . ich gehe jetzt eigentlich davon aus, daß mein System clean ist. BITTE BITTE BITTE

@ berlini,

lies bitte hierzu:
Entfernung von Schädlingen und Kompromittierung unvermeidbar?

SD

[edit] --> Hinweis auf 2. thread: 89531 [/edit]

Oh Gott - nicht wirklich noch einmal - ich habe den Verdacht, daß mein Mann jetzt langsam die Scheidung einreicht. :-)

@ berlini,

.. irgendwann lernst Du es ... halte Dich einfach an die gegebenen Ratschläge, lies sie durch, arbeite sie durch .. versuch zu verstehen, was Du liest, setze es um .. und surfe in Zukunft sicher.

Und einen lieben Gruss an Dich und Deinen Mann, ich bin auch weiblich, also daran kann es nicht liegen

SD