delprot.A und Dldr.Leser.A!
 

Hallo. ich hab die beiden oben genannten trojaner auf meinem rechner und weiss nicht mehr weiter. ich hab sämtliche virenscannert ausprobiert, und alle finden den ganzen scheiss, aber einige dateien lassen sich nie löschen. kein plan was ich jetzt noch machen kann.
bitte um hilfe!!!!

hier ein aktuelles logfile
Logfile of HijackThis v1.99.1
Scan saved at 16:28:00, on 19.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.total-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.0.1:3128/ken2000.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.total-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:2121;http=192.168.0.1:3128;https=192.168.0.1:3128;socks=192.168.0.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\System32\nsi2.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [sladspur] C:\WINDOWS\sladspur.exe
O4 - HKLM\..\RunOnce: [AAW] "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - Global Startup: MBM 5.lnk = C:\Programme\Motherboard Monitor 5\MBM5.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\winzip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.1:3128/ken2000.html
O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.addictivetechnologies.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.c4tdownload.com (HKLM)
O15 - Trusted Zone: *.megapornix.com (HKLM)
O15 - Trusted Zone: *.overpro.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SW.msft
O17 - HKLM\Software\..\Telephony: DomainName = SW.msft
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SW.msft
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SW.msft
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

_____________
Anm.
Die NUBs hast du gelesen?!
Wähle zukünftig den Titel so aus, daß dieser keine vulgären Ausdrücke enthält!

LG Cidre
S-Mod TB

Dldr.leser.A ist der richtige name. sorry

Hallo,

eScan runterladen und updaten (noch nicht scannen). Anleitung am besten als pdf-Dokument speichern.
Spybot Search&Destroy, Ad-Aware runterladen, installieren und updaten.

Starte den PC im abgesicherten Modus.

Deinstalliere unseriöse Software über Systemsteuerung-> Software.

Führe das aus, was hier beschrieben ist.

Fixe mit Hijackthis (mit HjT scannen, Haken setzen und "fix checked" anklicken)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.total-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.0.1:3128/ken2000.html (außer dir bekannt)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.total-search.biz

R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\System32\nsi2.dll

O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [sladspur] C:\WINDOWS\sladspur.exe

O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.1:3128/ken2000.html (-> siehe oben)

Lösche manuell:
C:\WINDOWS\isrvs
C:\WINDOWS\System32\nsi2.dll
C:\WINDOWS\sladspur.exe


Scanne mit Spybot S&D und Ad-Aware. Lass' die Probleme beheben.
Scanne dann mit eScan und lösche die gefundenen Dateien manuell (siehe Anleitung).

Neustart.

Windows-Update durchführen!

Alternativen Browser wählen!

Neues HijackThis-Logfile und die Virus-Log-Information von eScan posten. Problem gelöst?


PS: Falls du Probleme hast, die Dateien zu finden, nimm bitte folgende Einstellungen vor:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


BTW: Sind dir die O17-Einträge bekannt?

Dein XP ist absolut veraltet.

Führe genau nach Anweisung von Cidre aus:
http://www.trojaner-board.de/showthread.php?t=17492 und poste das Ergebnis hier.

Und editiere bitte die Überschrift, es lesen hier evtl. auch Kinder mit!

Gruß :daumenhoc
Yopie

hab die anweisungen von cidre erfolgt. kann jedoch den log nicht posten, da er zu groß ist

hab das neue logfile hochgeladen : http://s35.yousendit.com/d.aspx?id=2...12BW8XSI3DC8PX

Hast du gemacht, was ich geschrieben habe?
Wenn ja, poste die eScan_neu.txt (falls zu groß auf mehrere Postings aufteilen) und das neue HijackThis-Log. Ich hab nämlich keine Lust, mir dauernd irgendwas auf meinen Rechner zu laden ;)

Wenn nein; nun gut, da kann man auch nichts machen...

hallo. ich hab zuerst die das gemacht was in dem link von felix 1 stand, weil ich es als erstes gesehen hab. bin jetz dabei deinen anweisungen zu folgen. dauert noch n bischen. ich poste dann die logs. schonmal danke im voraus

ich kann den editor nicht starten. ich klick das symbol an, aber es passiert nichts. was mach ich falsch

Ich hab mir dein eScan-Log doch mal angeschaut und bin zu dem Entschluss gekommen, dass eine "Reinigung" sinnlos ist.
Eine Lösung findest du hier

Grund z.B. und natürlich auch P.S.: Am HijackThis-Log konnte man das leider nicht sehen...