Trojaner-Board - Trojaner TR/DLdr.Small.SE

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner TR/DLdr.Small.SE (https://www.trojaner-board.de/6971-trojaner-tr-dldr-small-se.html)

Hallo frankB,

lade Dir bitte den eScan runter, update ihn online und führe ihn offline im abgesicherten Modus aus ... siehe hierzu die Anleitung unter angegebenem Link.

Bitte poste danach ein Logfile entsprechend http://www.trojaner-board.de/51130-a...ijackthis.html .

SD

Hallo,
habe alles gemacht, danke erstmal.
Besagte Datei wurde von escan gelöscht.

Logfile of HijackThis v1.98.2
Scan saved at 14:07:47, on 01.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\ICSMGR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\UNZIPPED\HIJACKTHIS1982\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ELSAChipGuard] C:\WINDOWS\ELSAUTIL\elsavect.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\ITOUCH\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2879f5cd...dxIE601_de.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab

Hallo frankB,

überprüfe bitte diese Datei bei Kaspersky Online Scan:

STMGR.EXE
Pfad: C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

Fixe bitte mit Hijack This:

(\*) falsch: http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -

SD

[edit] @ Christian, wo Du recht hast ... also ich meinte das Gleiche wie Christian:

(*/) richtig ... O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

ist zu fixen .... das andere ist ein Sehfehler.

Dies sollte noch raus:

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

eScan hat nun die Datei erledigt, oder?

Hallo, also:
a)Überprüfung der Datei STMGR.EXE ergibt nichts auffälliges
b)eScan hat die Datei mit dem Trojaner erledigt
c)Ich soll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
fixen ? (warum wird das bei der automatischen Auswertung nicht angezeigt, oder was ist das?)
mfg

Jetzt wird's angezeigt ...

Der Eintrag ist eh unwirksam.
Ich bilde mir ein, dass über diesen Weg Adware an den User übermittelt wurde.
Du kannst dies ruhig fixen.

@ frankB

das ist ein Programm, mit dem man einen QuickTimeInstaller auf seinem System 'installieren' kann, sehr wahrscheinlich Adware. Bitte fixen.

Hast Du Tools auf Deinem Rechner, die vor Spyware und Adware schützen? Schau mal hier.

SD

[edit] @ Christian ... ich sah Dich nicht, hab das Programm gesucht ;) [/edit]

Ja, habe ich. Und zwar Ad-Aware 6 Personal, Danke.

Zitat:

Zitat von bambuswolle

Habe ihn in der Registry gefunden und gelöscht kam aber wieder nach neustart! Habe die tempor.int,files gelöscht jetzt 2 mal Antivir drüber und nix mehr gefunden scheint weg zu sein! Danke allen hier klasse Board! :daumenhoc

Hallo, I hope you speak Englisch, this is the first bulletinboard where I find something about TR/dldr.Small.SE, I have the same problem, where did you find it in your registry because my AV Personal scanner can't delete it, it's talking about viruses found in archives which can't be deleted or repaired. Can you help, how did you get rid of it???? Many thanks!! You can answer in German, I understand this

@Annamaria

Delete your Temp. Internet Files, your Cookies and your Process of the Internet.

@ Annamaria

Whats the directory the virus is found in? Please create a logfile with HJT similar to the one already posted here and copy it into this thread.

http://www.trojaner-board.de/51130-a...ijackthis.html

Zitat:

Zitat von *Christian*

@Annamaria

Delete your Temp. Internet Files, your Cookies and your Process of the Internet.

I did delete temp.internet files and cookies, process of the internet I don't know, how do I delete this?

Zitat:

Zitat von MountainKing

This is my logfile:

Please just copy and paste the text to here instead of attaching it in a file.

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

You probably never updated your system and thats always a bad sign. I highly recommend to visit windowsupdate and get ALL available patches for XP and IE, otherwise youre still vulnerable to old bugs that threatens your systems security.

C:\Program Files\Messenger Plus! 3\MsgPlus.exe

Messenger Plus contains Adware, you should uninstall it.
reg.planet.nl is your ISP I guess?

Get clearprog www.clearprog.de and clean your temporary folders with it.

Get Escan:

http://www.trojaner-board.de/42731-escan-anleitung.html

update it and run a full scan in safe mode as described. Reboot in normal mode and create a new logfile, if E-Scan found something, please post the information about that as well.

Zitat:

Zitat von MountainKing

Hello,Mountainking

I"m Sorry, maybe stupid but I do not know how to copy into this thread, I also have a logfile from a scan of today from my AV personal , how can I copy this?