Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Small.DLD.FO

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.06.2004, 12:29   #1
Eraserhead
 
TR/Small.DLD.FO - Beitrag

TR/Small.DLD.FO



Hi!

Ich weiß, dass es um diesen Trojaner schonmal ging, aber ich bekomme ihn einfach nicht weg. Hoffentlich kann mir jemand von Euch helfen.
Mein Problem: Wenn ich den IE starte, kommt die Startseite about:blank irgendetwas von "Smartsearch". AntiVir gibt mir dann folgende Meldung:
"C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ TEMPORARY INTERNET FILES\ CONTENT .IE5\FD1779PKW\CAD8UDTZ
Ist das Trojanische Pferd TR/Small.DLD.FO"

oder das gleiche mit der Endung ..."\1BZVH9CE\CAVMU97V

Ist das Trojanische Pferd TR/Small.DLD.FO"

Wenn ich anschließend auf löschen klicke, kommt die Meldung:

"Progr~1\PL.EXE
Ist das Trojanische Pferd TR/Small.DLD.FO"


Wenn ich nun die Startseite wieder verändere und den IE sarte, bleibt beim ersten Start alles gleich, beim zweiten Start passiert das Gleiche wieder.
Was ich bisher versucht habe:
-die empfohlenen Programme runtergeladen und auf den aktuellen Stand gebracht.
-Systemwiederherstellung deaktiviert und Windows im abgesicherten Modus gestartet
-die Programme ausgeführt und die Temporary InternetFiles gelöscht

Jedesmal wenn ich nun den CWShredder starte, erhalte ich die Meldung
"Done!
Removed from your system:
- CWS.Svchost32
- CWS.Jksearch"

Der Trojaner scheint sich also immer wieder woanders hin zu kopieren und mit den genannten Programmen nicht löschbar zu sein.

Hier ist noch meine Logfile aus HijackThis:

"Logfile of HijackThis v1.97.7
Scan saved at 12:52:05, on 10.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\AAAAhjt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\AAAAhjt.exe

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}"

Ich weiß wirklich nicht mehr, was ich machen soll. Meine Computer - Kenntnisse reichen dafür einfach nicht aus. Ich wäre wirklich dankbar, wenn mir jemand von Euch helfen könnte. [img]graemlins/party.gif[/img]

Eraserhead

Alt 10.06.2004, 12:46   #2
rock
 
TR/Small.DLD.FO - Beitrag

TR/Small.DLD.FO



C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ TEMPORARY INTERNET FILES\ CONTENT .IE5\FD1779PKW\CAD8UDTZ
Ist das Trojanische Pferd TR/Small.DLD.FO"

schliese den browser und lösch die temp.internetfiles incl.offlineinhalte.

gruss
rock

was ist das?
C:\Dokumente und Einstellungen\Administrator\Desktop\AAAAhjt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\AAAAhjt.exe
__________________


Alt 10.06.2004, 12:53   #3
rock
 
TR/Small.DLD.FO - Beitrag

TR/Small.DLD.FO



falls du jetzt sagst das hast du schon gemacht,...dann offensichtlich NICHT die offlineinhalte...im pfad wird contentIE5 angegeben...und den unterordner bekommst du leer wenn du die offlineinhalte mit den tempfiels mitlöscht!
ich nehm an das AAAAhjt ist der HijackThis den du so bennannt hast oder?

im log sehe ich nichts von den trojanern...
nur der downloadmanager den du da hast, der hat spyware oder so'n kram mit dabei!

gruss
rock
__________________

Alt 10.06.2004, 13:36   #4
Eraserhead
 
TR/Small.DLD.FO - Beitrag

TR/Small.DLD.FO



Das Löschen der Temporären Internet Files hat nichts gebracht, obwohl ich angeklickt habe, dass ich alle Offline - Inhalte löschen möchte. Habe das auch schon im abgesicherten Modus probiert.
Was mich wundert: Wenn ich den Ordner
"C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files" anklicke ist er leer, laut Eigenschaften ist er aber 7,74 MB groß.
Den Ordner im Explorer zu löschen und dann unter dem gleichen Namen neu zu erstellen ist leider nicht erlaubt.

Alt 10.06.2004, 13:40   #5
rock
 
TR/Small.DLD.FO - Beitrag

TR/Small.DLD.FO



könntest du mal noch einmal mit einem anderen scanner wie antivir deine platte incl. archive prüfen lassen.
mit trendmicro oder f-secure versuchen erstmal:
http://support.f-secure.com/enu/home/ols.shtml

gruss
rock


Alt 10.06.2004, 13:44   #6
Eraserhead
 
TR/Small.DLD.FO - Beitrag

TR/Small.DLD.FO



Habe bisher folgene Progamme upgedated und benutzt:
-AntiVir XP
-Ad-aware 6.0
-Spybot - Search & Destry
-CW - Shredder
-HJT

Alt 10.06.2004, 13:49   #7
Eraserhead
 
TR/Small.DLD.FO - Beitrag

TR/Small.DLD.FO



Hier noch ein eine neues Logfile von Hijack, diemal nicht im abgesicherten Modus:

Logfile of HijackThis v1.97.7
Scan saved at 14:46:28, on 10.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\AAAAhjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B1ED2CC-710B-4C03-A704-8DDF2975D12E}: NameServer = 134.95.129.23 134.95.100.208
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Alt 10.06.2004, 13:54   #8
neptune
 
TR/Small.DLD.FO - Beitrag

TR/Small.DLD.FO



ich versteh die o8 und den o18 eintrag nicht.. sicher, dass die sicher sind?..
__________________
follow me and do exactly what i say

Alt 10.06.2004, 13:57   #9
rock
 
TR/Small.DLD.FO - Beitrag

TR/Small.DLD.FO



O8 ist von diesem downloadmanager.

gruss
rock

Alt 10.06.2004, 14:15   #10
Eraserhead
 
TR/Small.DLD.FO - Beitrag

TR/Small.DLD.FO



Habe gerade mal F-Secure laufen lassen:

"C:\WINDOWS\Downloaded Program Files\x.exe TrojanDownloader.Win32.Small.mj

C:\WINDOWS\Downloaded Program Files\x.exe TrojanDownloader.Win32.Small.mj

C:\Recycled\Q330994.exe TrojanDownloader.Win32.Small.mj

C:\Recycled\Q330994.exe TrojanDownloader.Win32.Small.mj"

Das Verzeichnis C:\Recycled kann ich nicht einsehen. Leider bot F - Secure keine Möglichkeit, den Virus zu löschen.

Alt 10.06.2004, 16:55   #11
rock
 
TR/Small.DLD.FO - Beitrag

TR/Small.DLD.FO



leere den papierkorb(recycle)und lösch aus dem ordner downloaded programm files diese einträge die dort angegeben werden!(x.exe)

gruss
rock

Alt 10.06.2004, 18:33   #12
Lutz
 

TR/Small.DLD.FO - Beitrag

TR/Small.DLD.FO



... außerdem sollten diese Einträge gefixt werden:

</font><blockquote>Zitat:</font><hr />O1 - Hosts: 213.159.117.235 auto.search.msn.com
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} </font>[/QUOTE]
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 10.06.2004, 18:52   #13
Eraserhead
 
TR/Small.DLD.FO - Pfeil

TR/Small.DLD.FO



Jetzt scheint das Programm endlich entfernt zu sein. Den Ordner "C:\WINDOWS\Downloaded Program Files\" habe ich gelöscht und dann neu erstellt, da der Ordner immer noch ein paar KB groß war, nachdem ich alle Objekte aus ihm entfernt hatte.
Auf jeden Fall herzlichen Dank an Euch, vor allem natürlich an rock´.
Vielleicht hat ja jemand das gleiche Problem wie ich und weiß jetzt, wie man es lösen kann. [img]graemlins/party.gif[/img]

Antwort

Themen zu TR/Small.DLD.FO
abgesicherten modus, administrator, adobe, antivir, avg, computer, ctfmon.exe, desktop, download, einstellungen, explorer, hijack, hijackthis, icq, immer wieder, internet, internet explorer, logfile, löschen, messenger, nicht, object, pdf, problem, programme, shockwave, sun java, system32, trojaner, windows, windows xp



Ähnliche Themen: TR/Small.DLD.FO


  1. trojan.win32.small.bmrh, Trojan.win32.small.Zapchast.acjy
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (22)
  2. TR/Small/FI
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (1)
  3. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (54)
  4. TR/Dldr.Small.baxe und TR/Dldr.Small.baxg. Ich krieg sie nicht mehr los!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  5. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Mülltonne - 01.12.2010 (0)
  6. VBS:Small-B und was nun?
    Plagegeister aller Art und deren Bekämpfung - 23.11.2008 (1)
  7. small.APC
    Mülltonne - 11.11.2008 (0)
  8. TR/small.EEK
    Log-Analyse und Auswertung - 07.05.2007 (2)
  9. tr/small.dby.ad.8
    Mülltonne - 17.02.2007 (1)
  10. Infiziert mit TR/Dldr.small.cnh.14 und TR/Trop.Small.XL, was nun?
    Plagegeister aller Art und deren Bekämpfung - 24.10.2006 (1)
  11. Hilfe bei 2 Trojanern:Small.GQ.4 und Dldr.Small.buy
    Log-Analyse und Auswertung - 15.06.2006 (3)
  12. Tr/Small.D.1
    Plagegeister aller Art und deren Bekämpfung - 22.10.2005 (1)
  13. Trojaner Dldr.Small.UV.3 und Small.AR.1.C
    Log-Analyse und Auswertung - 14.03.2005 (6)
  14. TR/D/dr.Small.ZJ.2
    Plagegeister aller Art und deren Bekämpfung - 28.11.2004 (1)
  15. TR/Small.GS.2 again !!!!
    Plagegeister aller Art und deren Bekämpfung - 04.06.2004 (26)
  16. tr/small.GS.2
    Plagegeister aller Art und deren Bekämpfung - 23.05.2004 (5)
  17. Small.Dld.FO
    Plagegeister aller Art und deren Bekämpfung - 11.04.2004 (4)

Zum Thema TR/Small.DLD.FO - Hi! Ich weiß, dass es um diesen Trojaner schonmal ging, aber ich bekomme ihn einfach nicht weg. Hoffentlich kann mir jemand von Euch helfen. Mein Problem: Wenn ich den IE - TR/Small.DLD.FO...
Archiv
Du betrachtest: TR/Small.DLD.FO auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.