| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Small.DLD.FOWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
10.06.2004, 12:29
| #1 |
| |  TR/Small.DLD.FO Hi! Ich weiß, dass es um diesen Trojaner schonmal ging, aber ich bekomme ihn einfach nicht weg. Hoffentlich kann mir jemand von Euch helfen. Mein Problem: Wenn ich den IE starte, kommt die Startseite about:blank irgendetwas von "Smartsearch". AntiVir gibt mir dann folgende Meldung: "C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ TEMPORARY INTERNET FILES\ CONTENT .IE5\FD1779PKW\CAD8UDTZ Ist das Trojanische Pferd TR/Small.DLD.FO" oder das gleiche mit der Endung ..."\1BZVH9CE\CAVMU97V Ist das Trojanische Pferd TR/Small.DLD.FO" Wenn ich anschließend auf löschen klicke, kommt die Meldung: "Progr~1\PL.EXE Ist das Trojanische Pferd TR/Small.DLD.FO" Wenn ich nun die Startseite wieder verändere und den IE sarte, bleibt beim ersten Start alles gleich, beim zweiten Start passiert das Gleiche wieder. Was ich bisher versucht habe: -die empfohlenen Programme runtergeladen und auf den aktuellen Stand gebracht. -Systemwiederherstellung deaktiviert und Windows im abgesicherten Modus gestartet -die Programme ausgeführt und die Temporary InternetFiles gelöscht Jedesmal wenn ich nun den CWShredder starte, erhalte ich die Meldung "Done! Removed from your system: - CWS.Svchost32 - CWS.Jksearch" Der Trojaner scheint sich also immer wieder woanders hin zu kopieren und mit den genannten Programmen nicht löschbar zu sein. Hier ist noch meine Logfile aus HijackThis: "Logfile of HijackThis v1.97.7 Scan saved at 12:52:05, on 10.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\AAAAhjt.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\AAAAhjt.exe O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}" Ich weiß wirklich nicht mehr, was ich machen soll. Meine Computer - Kenntnisse reichen dafür einfach nicht aus. Ich wäre wirklich dankbar, wenn mir jemand von Euch helfen könnte. [img]graemlins/party.gif[/img] Eraserhead |
|
10.06.2004, 12:46
| #2 |
  | TR/Small.DLD.FO C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ TEMPORARY INTERNET FILES\ CONTENT .IE5\FD1779PKW\CAD8UDTZ
__________________Ist das Trojanische Pferd TR/Small.DLD.FO" schliese den browser und lösch die temp.internetfiles incl.offlineinhalte. gruss rock was ist das? C:\Dokumente und Einstellungen\Administrator\Desktop\AAAAhjt.exe C:\Dokumente und Einstellungen\Administrator\Desktop\AAAAhjt.exe |
|
10.06.2004, 12:53
| #3 |
| | TR/Small.DLD.FO falls du jetzt sagst das hast du schon gemacht,...dann offensichtlich NICHT die offlineinhalte...im pfad wird contentIE5 angegeben...und den unterordner bekommst du leer wenn du die offlineinhalte mit den tempfiels mitlöscht!
__________________ich nehm an das AAAAhjt ist der HijackThis den du so bennannt hast oder? im log sehe ich nichts von den trojanern... nur der downloadmanager den du da hast, der hat spyware oder so'n kram mit dabei! gruss rock |
|
10.06.2004, 13:36
| #4 |
| | TR/Small.DLD.FO Das Löschen der Temporären Internet Files hat nichts gebracht, obwohl ich angeklickt habe, dass ich alle Offline - Inhalte löschen möchte. Habe das auch schon im abgesicherten Modus probiert. Was mich wundert: Wenn ich den Ordner "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files" anklicke ist er leer, laut Eigenschaften ist er aber 7,74 MB groß. Den Ordner im Explorer zu löschen und dann unter dem gleichen Namen neu zu erstellen ist leider nicht erlaubt. |
|
10.06.2004, 13:40
| #5 |
| | TR/Small.DLD.FO könntest du mal noch einmal mit einem anderen scanner wie antivir deine platte incl. archive prüfen lassen. mit trendmicro oder f-secure versuchen erstmal: http://support.f-secure.com/enu/home/ols.shtml gruss rock |
|
10.06.2004, 13:44
| #6 |
| | TR/Small.DLD.FO Habe bisher folgene Progamme upgedated und benutzt: -AntiVir XP -Ad-aware 6.0 -Spybot - Search & Destry -CW - Shredder -HJT |
|
10.06.2004, 13:49
| #7 |
| | TR/Small.DLD.FO Hier noch ein eine neues Logfile von Hijack, diemal nicht im abgesicherten Modus: Logfile of HijackThis v1.97.7 Scan saved at 14:46:28, on 10.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\AAAAhjt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6B1ED2CC-710B-4C03-A704-8DDF2975D12E}: NameServer = 134.95.129.23 134.95.100.208 O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} |
|
10.06.2004, 13:54
| #8 |
 | TR/Small.DLD.FO ich versteh die o8 und den o18 eintrag nicht.. sicher, dass die sicher sind?..
__________________ follow me and do exactly what i say |
|
10.06.2004, 13:57
| #9 |
| | TR/Small.DLD.FO O8 ist von diesem downloadmanager. gruss rock |
|
10.06.2004, 14:15
| #10 |
| | TR/Small.DLD.FO Habe gerade mal F-Secure laufen lassen: "C:\WINDOWS\Downloaded Program Files\x.exe TrojanDownloader.Win32.Small.mj C:\WINDOWS\Downloaded Program Files\x.exe TrojanDownloader.Win32.Small.mj C:\Recycled\Q330994.exe TrojanDownloader.Win32.Small.mj C:\Recycled\Q330994.exe TrojanDownloader.Win32.Small.mj" Das Verzeichnis C:\Recycled kann ich nicht einsehen. Leider bot F - Secure keine Möglichkeit, den Virus zu löschen. |
|
10.06.2004, 16:55
| #11 |
| | TR/Small.DLD.FO leere den papierkorb(recycle)und lösch aus dem ordner downloaded programm files diese einträge die dort angegeben werden!(x.exe) gruss rock |
|
10.06.2004, 18:33
| #12 |
  | TR/Small.DLD.FO ... außerdem sollten diese Einträge gefixt werden: </font><blockquote>Zitat:</font><hr />O1 - Hosts: 213.159.117.235 auto.search.msn.com O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} </font>[/QUOTE]
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
10.06.2004, 18:52
| #13 |
| |  TR/Small.DLD.FO Jetzt scheint das Programm endlich entfernt zu sein. Den Ordner "C:\WINDOWS\Downloaded Program Files\" habe ich gelöscht und dann neu erstellt, da der Ordner immer noch ein paar KB groß war, nachdem ich alle Objekte aus ihm entfernt hatte. Auf jeden Fall herzlichen Dank an Euch, vor allem natürlich an rock´.  Vielleicht hat ja jemand das gleiche Problem wie ich und weiß jetzt, wie man es lösen kann. [img]graemlins/party.gif[/img] |
|
| Themen zu TR/Small.DLD.FO |
| abgesicherten modus, administrator, adobe, antivir, avg, computer, ctfmon.exe, desktop, download, einstellungen, explorer, hijack, hijackthis, icq, immer wieder, internet, internet explorer, logfile, löschen, messenger, nicht, object, pdf, problem, programme, shockwave, sun java, system32, trojaner, windows, windows xp |
Linear-Darstellung
