Hi,

ich habe ein Problem. Irgendwie hat sich eine Startseite im Browser eingestellt die ich nicht will.
Jesesmal wenn ich IE starte und auf diese voreingestellte Site gelange, gibt mir das Virusprogramm eine Warnmeldung mit obigem Trojaner (siehe Betreff). Nun ich habe schon ziemlich alles probiert! D.h. Virusscan mit Antivir 6, Ad-aware und das on-line virusscan von Pandasoftware. Am Anfang wurden sie fündig, und löschten angeblich alles raus. Aber die Startsite bleibt da. Beim manuellen eingeben in der Registry, fliegt die von mir eigegebene Adresse wieder raus sobald ich das Fenster verlasse. Einen neuen Account hat auch nichts gebracht! Nun das Beste: all diese Schritte habe ich auch im Abesichertem Modus gemacht, ERFOLGLOS. Eine Interessante Differenz ist jedoch zu beobachten: im abgesichertem Modus, wenn ich alle angaben im Registry manuell eingebe, bleiben sie dann auch. Aber sobald ich die Maschiene reboote ist wieder alles beim alten!
Weiss nicht mehr weiter!
System: Win2k Pro

Hilfe!

Noch was: alle Tips die an "regensteiner" ein paar zeilen darunter gegeben worden sind, haben auch nichts gebracht. tja...

Hallo,

a² wäre noch ne Idee, andernfalls verweise ich mal hier hin:

http://forum.mikes-pchilfe.de/index.php?board=5;action=display;threadid=1291

den link hatte ich schon vorhin gesehen, bringt mir aber nichts. anscheinend hatt er laug link eine msoffice.hta datei im ornder "fonts" gefunden, die er gelöscht hat. auf meinem rechner ist eine solche datei nicht zu finden.
ich muss eine lösung haben, denn wenn ich online bin kriege ich ständig neue virenmeldungen wie zB: TR/Drop.Delf.DJ.4 oder eine art installer.exe, die sich in meinem temp einnisten. ich löche die fortlaufend.

hier mein hijack logfile:

Logfile of HijackThis v1.98.2
Scan saved at 15:13:23, on 07.10.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\System32\LXSUPMON.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\SED\SED.exe
C:\WINNT\System32\systime.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\winnt\winln.exe
C:\WINNT\System32\systime.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\Labtec Wireless Desktop\MulMouse.exe
C:\Programme\Labtec Wireless Desktop\MagicKey.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\Outlook Express\msimn.exe
C:\Downloads\Programs\Antiviren & Co\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe"
O4 - HKLM\..\Run: [SysTime] C:\WINNT\System32\systime.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [winltmpv] c:\winnt\winln.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\System32\systime.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Labtec Wireless Desktop aktivieren.lnk = C:\Programme\Labtec Wireless Desktop\MulMouse.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste (2).lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: START_PAGE_URL=http://internet.sunrise.ch/de/hom/default.asp
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - (no file)

ohoh, das sieht schlecht aus.

Sichere deine Daten und installiere dein System komplett neu, sonst wirst du nicht mehr froh

GRuß Mike

hi,

is there anyway to delete this virus TR/Drop.Delf.DJ.3 from my computer?

thanks..



Hi,

ich habe ein Problem. Irgendwie hat sich eine Startseite im Browser eingestellt die ich nicht will.
Jesesmal wenn ich IE starte und auf diese voreingestellte Site gelange, gibt mir das Virusprogramm eine Warnmeldung mit obigem Trojaner (siehe Betreff). Nun ich habe schon ziemlich alles probiert! D.h. Virusscan mit Antivir 6, Ad-aware und das on-line virusscan von Pandasoftware. Am Anfang wurden sie fündig, und löschten angeblich alles raus. Aber die Startsite bleibt da. Beim manuellen eingeben in der Registry, fliegt die von mir eigegebene Adresse wieder raus sobald ich das Fenster verlasse. Einen neuen Account hat auch nichts gebracht! Nun das Beste: all diese Schritte habe ich auch im Abesichertem Modus gemacht, ERFOLGLOS. Eine Interessante Differenz ist jedoch zu beobachten: im abgesichertem Modus, wenn ich alle angaben im Registry manuell eingebe, bleiben sie dann auch. Aber sobald ich die Maschiene reboote ist wieder alles beim alten!
Weiss nicht mehr weiter!
System: Win2k Pro

Hilfe!

I only know tools in german. but i think the best will be, if you reinstall your windows.