Bitte Hilfe bei TR/drop delf dj3

#0
23.11.2004, 23:19
...neu hier

Beiträge: 1
#1 Hallo,

könnte Ihr mir helfen, einen Trojaner loszuwerden?

AntiVir meldete TR/drop delf dj3, nach dem "Löschen" und einem neuem Suchlauf bringt AntiVir keine neue Virenmeldung.

IE6 öffnet aber weiterhin mit unerwünschter Startseite http://213.159.117.134/index.php, und AntiVir meldet dann erneut TR/drop delf 3. IE versucht zunächst, eine Verbindung über ISDN statt über Standardeinstellung DSL herzustellen.Da ich den PC vom ISDN getrennt habe, wird nach einiger Zeit doch die DSL-Verbindung zugelassen.

Was muß ich tun als relativer Laie. Herzlichen Dank für Eure Hilfe!!

Mein HijackThis-Log lautet:

Logfile of HijackThis v1.98.2
Scan saved at 23:17:03, on 23.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\systime.exe
D:\Programme\0190 Alarm\0190Alarm.exe
C:\WINDOWS\System32\systime.exe
C:\Dokumente und Einstellungen\1\Anwendungsdaten\estr.exe
C:\WINDOWS\System32\??rss.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\MDM.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {44C132BF-B977-48A6-9FDA-FA12C4851AB8} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [0190 Alarm] D:\Programme\0190 Alarm\0190Alarm.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\1\Anwendungsdaten\estr.exe
O4 - HKCU\..\Run: [Khlsfa] C:\WINDOWS\System32\??rss.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O15 - Trusted Zone: *.windupdates.com
Seitenanfang Seitenende
25.11.2004, 12:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@andromeda5

1.Schritt:

<Das eScan AV Toolkit (mwav.exe) herunterladen, öffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen..und diese dann im Schritt "5" zusammen mit der jetzt schon sichtbaren Malware loeschen.

-------------------------------------------------------------------------------
2.Schritt:
<xphidden< und oeffne sie,Doppelklick und
"yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar)
http://www.davehigham.zen.co.uk/downloads/xphidden.zip

<"cwsfix.reg" + "cwsserviceremove.reg downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken.
--> http://d21c.com/Tom41/?D=A

<AboutBuster.zip downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. AboutBuster starten und updaten. Noch nicht scannen lassen.
--> www.malwarebytes.biz/AboutBuster.zip

<AdAware downloaden, installieren und updaten. Ebenfalls noch nicht scannen lassen.
--> http://www.lavasoft.de/support/download/

3.Schritt:
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: (no name) - {44C132BF-B977-48A6-9FDA-FA12C4851AB8} - (no file)
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\1\Anwendungsdaten\estr.exe
O4 - HKCU\..\Run: [Khlsfa] C:\WINDOWS\System32\??rss.exe
O15 - Trusted Zone: *.windupdates.com

4. Schritt:
PC neustarten..und
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

5.Schritt:
loesche:
<C:\WINDOWS\System32\systime.exe
<C:\Dokumente und Einstellungen\1\Anwendungsdaten\estr.exe
<C:\WINDOWS\System32\??rss.exe
<C:\WINDOWS\System32\dktibs.exe (loesche falls es vorhanden ist...bin mir nicht sicher)
+ die Dateien, die der eScan angezeigt hat .

6. Schritt:
und dort füge cwsfix.reg" +
"cwsserviceremove.reg durch "yes" der Registry bei und scanne mit
AboutBuster und AdAware.

7.Schritt:
mache ebenfalls im abgesicherten Modus:
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

8.Schritt:

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Adding sites\servers to the Internet Explorer Restricted Zone
http://www.mvps.org/winhelp2002/restricted.htm
Download: Del_HKCU_Domains.inf - Right-click and select: Save Target As
To use: right-click and select: Install (no need to restart)
Note: This will remove all entries in the "Trusted Zone" also.

Dann stelle unter "Internetoption" eine neue Startseite ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.11.2004 um 12:37 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: