Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Small.acod

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.09.2008, 10:01   #1
skodi
 
TR/Dldr.Small.acod - Standard

TR/Dldr.Small.acod



Guten Morgen,
habe mir eben Google Chrome direkt von google heruntergeladen und installiert beim importieren der Passwörter aus Firefox sprang plötzlich mein Antivir an und meldete mir einen Trojaner: TR/Dldr.Small.acod

Genauer Worlaut der Antivir-Meldung:
In der Datei 'C:\WINDOWS\system32\a.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Small.acod' [trojan] gefunden.

Das Betriebssystem ist WinXP Home SP2

Folgen der "Infektion" sind mir bislang keine bewusst geworden.
Ansonsten ist mein System sauber, zumindest das HJ, Malwarebytes und AntiVir ....

Ich habe die Datei mal bei virustotal hochgeladen, hier das Ergebnis:
http://www.virustotal.com/de/analisi...dda9276a2aa56a

Wie würdet ihr das einstufen?

Alt 03.09.2008, 11:52   #2
undoreal
/// AVZ-Toolkit Guru
 
TR/Dldr.Small.acod - Standard

TR/Dldr.Small.acod



Zitat:
Wie würdet ihr das einstufen?
Als äußerst gefährlich!
Trenne den rechner umgehend vom Netz und ändere ALLE deine Passwörter und Zugansaccounts von einem sauberen PC aus!

Wurde die a.exe von AntiVir gelöscht?

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung

Systemanalyse
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter File -> Database Update Start drücken.
  • Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  • Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  • Im Hauptfenster den Start Button drücken.
  • Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.
__________________

__________________

Alt 03.09.2008, 12:26   #3
skodi
 
TR/Dldr.Small.acod - Standard

TR/Dldr.Small.acod



Danke erstmal für die Antwort:

Habe gerade gesehen, dass der Link zu virustotal nicht geht...
hier nochmal:

Antivir hat die Datei gelöscht (vorher) Quarantäne kopiert

Bin gerade dabei, deine Anleitung durchzumachen... melde mich später wieder..

Bislang aber noch nichts auffälliges...

Darf ich fragen weshalb du das für extrem gefährlich hältst?
__________________

Geändert von skodi (03.09.2008 um 12:37 Uhr)

Alt 03.09.2008, 15:25   #4
skodi
 
TR/Dldr.Small.acod - Standard

TR/Dldr.Small.acod



Hallo,
also hier mal das HJ-Log:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:39, on 03.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\DOKUME~1\000\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\HPZipm12.exe
D:\this\this.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197058625062
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 7344 bytes

Alt 03.09.2008, 15:42   #5
undoreal
/// AVZ-Toolkit Guru
 
TR/Dldr.Small.acod - Standard

TR/Dldr.Small.acod



Wofür stehen die 000 hier?

C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Update\Google Update.exe

Guck mal nach was das für ein Ordner das ist und ob du den bewusst so angelegt hast. Ich finde nämlich nicht einen Eintrag im Netz bei dem Google dort hin installiert wurde.. Oder hast du das während der Installation selbst so eingestellt? Wenn ja dann ignoriere die weiteren Schritte.


Extrem gefährlich da es sich um den eindeutigen Treffer eines Downloaders handelt der weitere Schädlinge auf den Rechner saugt und der Dateiname und die Aktion bei der der fund auftrat auf einen Keylogger bzw. auf einen Passwort"Klauer" schließen lässt.

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Geändert von undoreal (03.09.2008 um 15:56 Uhr)

Alt 03.09.2008, 15:46   #6
skodi
 
TR/Dldr.Small.acod - Standard

TR/Dldr.Small.acod



Hier der AVZ Rapidshare-Link

http://rapidshare.de/files/40384743/avz_sysinfo.zip.html

Alt 03.09.2008, 15:49   #7
skodi
 
TR/Dldr.Small.acod - Standard

TR/Dldr.Small.acod



das 000 habe ich dort reingeschrieben (Suchen&Ersetzen), da steht normalerweise mein Name drin...

Man soll ja die persönlichen Infos unkenntlich machen

Alt 03.09.2008, 15:53   #8
skodi
 
TR/Dldr.Small.acod - Standard

TR/Dldr.Small.acod



Hier der Link zu virustotal

Zitat:
http://www.virustotal.com/de/analisis/68a3282249b67a913525faee14119f5c

Alt 03.09.2008, 15:55   #9
undoreal
/// AVZ-Toolkit Guru
 
TR/Dldr.Small.acod - Standard

TR/Dldr.Small.acod



Zitat:
das 000 habe ich dort reingeschrieben (Suchen&Ersetzen), da steht normalerweise mein Name drin...
O.k. Schreib mal das nächste mal [Mein Name] oder so... dann ist das klarer.


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\Programme\IZArc\IZArcCM.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Geändert von undoreal (03.09.2008 um 16:03 Uhr)

Alt 03.09.2008, 16:07   #10
skodi
 
TR/Dldr.Small.acod - Standard

TR/Dldr.Small.acod



Danke erstmal für die Hilfe!

Hier das Ergebnis der dll datei

Zitat:
http://www.virustotal.com/de/analisis/062c6920274fe72f0b2a824cea7f035a

Alt 03.09.2008, 17:38   #11
undoreal
/// AVZ-Toolkit Guru
 
TR/Dldr.Small.acod - Standard

TR/Dldr.Small.acod



Sieht alles sauber aus..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu TR/Dldr.Small.acod
a.exe, antivir, betriebssystem, bewusst, c:\windows, datei, ergebnis, firefox, google, google chrome, guten, home, infektion, malwarebytes, passwörter, plötzlich, programm, system, system32, trojaner, unerwünschtes programm, virus, virustotal, windows, winxp, winxp home, xp home



Ähnliche Themen: TR/Dldr.Small.acod


  1. Mehrere Funde! EXP/JAVA.Ternub.Gen - JAVA/Dldr.Small.CI - JAVA/Dldr.OpenC.A - EXP/08-5353.AI.5.A
    Plagegeister aller Art und deren Bekämpfung - 08.08.2012 (29)
  2. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (54)
  3. TR/Dldr.Small.baxe und TR/Dldr.Small.baxg. Ich krieg sie nicht mehr los!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  4. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Mülltonne - 01.12.2010 (0)
  5. TR/Dldr.Small.acod - bedenklich?
    Mülltonne - 03.09.2008 (0)
  6. Infiziert mit TR/Dldr.small.cnh.14 und TR/Trop.Small.XL, was nun?
    Plagegeister aller Art und deren Bekämpfung - 24.10.2006 (1)
  7. Hilfe bei 2 Trojanern:Small.GQ.4 und Dldr.Small.buy
    Log-Analyse und Auswertung - 15.06.2006 (3)
  8. TR/Dldr.Small.ayl.0
    Log-Analyse und Auswertung - 23.02.2006 (2)
  9. TR/Dldr.Small.1
    Log-Analyse und Auswertung - 13.08.2005 (5)
  10. TR/Dldr.Small.alr.1
    Log-Analyse und Auswertung - 14.07.2005 (1)
  11. TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer
    Log-Analyse und Auswertung - 14.04.2005 (7)
  12. Trojaner Dldr.Small.UV.3 und Small.AR.1.C
    Log-Analyse und Auswertung - 14.03.2005 (6)
  13. Tr/Dldr.IstBar.gen - Tr/Dldr.Dvfuca.X - Tr/dldr.small.xo
    Plagegeister aller Art und deren Bekämpfung - 06.03.2005 (8)
  14. SOS Habe TR/Dldr.small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 13.10.2004 (3)
  15. HILFE, dldr.agent.cb und dldr.small.or
    Log-Analyse und Auswertung - 11.10.2004 (4)
  16. TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 27.09.2004 (7)
  17. Hilfe!! TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 09.09.2004 (6)

Zum Thema TR/Dldr.Small.acod - Guten Morgen, habe mir eben Google Chrome direkt von google heruntergeladen und installiert beim importieren der Passwörter aus Firefox sprang plötzlich mein Antivir an und meldete mir einen Trojaner: TR/Dldr.Small.acod - TR/Dldr.Small.acod...
Archiv
Du betrachtest: TR/Dldr.Small.acod auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.