Trojaner-Board - Trojaner TR/DLdr.Small.SE

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner TR/DLdr.Small.SE (https://www.trojaner-board.de/6971-trojaner-tr-dldr-small-se.html)

Trojaner TR/DLdr.Small.SE

Habe den Trojaner TR/DLdr.Small.SE befallen ist die Datei ieloader[1].cab 1
Anti Vir hat ihn gefunden kann nicht löschen. Wer weiß Rat?

Wo wurde denn die Datei gefunden?
Lösche mal deine Temp. Internet Files und scanne erneut.

Mach ich grad noch mal der Tro war als Anhang in EMail von support@nai.com den mein Sohn geöffnet hat!

Hallo Bambuswolle,

hast Du den eScan noch? Update ihn nochmal und führe einen weiteren Scan im abgesicherten Modus durch ... in meiner Signatur unter TI Hijacker-Rubrik findest Du weitere Hinweise.

SD

Nee den habe ich nicht mehr habe Format C machen müssen nach letztem Trojaner Krepper und E-Scan hat mir irgendwas gelöscht dann ging gar nix mehr hatte alles nach D verschoben und C Platt gemacht!
Habe gerade erst XP wiedr neu drauf und jetztschon wieder einer! Scanne gerade noch mal aber danke für eure Hilfe! Melde mich nachher noch mal erst mal sehen was Klinsmann macht!

OT : sitzt Klinsmann net auf der bank ???

:D

@ Bambuswolle,

sende die Datei - vor dem Löschen an virus@av.klaffke.info

Wie alt ist Dein Sohn? Öffnet er öfter die Dateianhänge fremder Mails? So ja, werde ich mal auf die Suche gehen, nach dem Kinderschutzprogramm, das ich hier vor kurzem gepostet habe ;-)

In meiner Signatur findest Du auch andere wertvolle Tips ... bitte lesen!

;)

SD

[edit] die Boardsuche ist was Feines: Parents Friend - Thread [/edit]

Habe ihn in der Registry gefunden und gelöscht kam aber wieder nach neustart! Habe die tempor.int,files gelöscht jetzt 2 mal Antivir drüber und nix mehr gefunden scheint weg zu sein! Danke allen hier klasse Board! :daumenhoc

@ bambuswolle

Zitat:

Mach ich grad noch mal der Tro war als Anhang in EMail von support@nai.com den mein Sohn geöffnet hat!

Erstelle für deinen Sohn ein eingeschränktes Benutzerkonto.

War dein System nach dem Neuaufsetzen entsprechend abgesichert?

Zitat:

Zitat von bambuswolle

Logfile of HijackThis v1.97.7
Scan saved at 23:20:48, on 12.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Ist dein System wenigstens jetzt am aktuellsten Stand?

Mein Sohn ist schon 21 aber leichtgläubig in dieser Beziehung werde ihm mal den PC en bischen sperren! :teufel3:

Hallo,
ich habe ebenfalls diesen Trojaner, und laut AntiVir hier:
C:\
explorer.cab
ArchiveType: CAB (Microsoft)
--> explorer.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OR

Was kann ich denn dagenen machen?

Wo wurde denn genau der Trojaner gefunden?

Lösche mal deine Temp. Internet Files und scanne erneut.

Hallo,
Temp. Internet Files habe ich schon gelöscht.
Wurde hier in diesem Archiv gefunden:
C:\explorer.cab
Kann ich die ganze Datei einfach so löschen,
denn AntiVir macht das nicht, weil es eben ein Archiv ist ?

Zitat:

Zitat von Cidre

@ bambuswolle

Erstelle für deinen Sohn ein eingeschränktes Benutzerkonto.

War dein System nach dem Neuaufsetzen entsprechend abgesichert?

Ist dein System wenigstens jetzt am aktuellsten Stand?

Hatte eigentlich gedacht der Router sichert genug ab hab noch Antivir und Ad-Aware drauf jetzt hab ich mir zusätzlich Zone-Alarm draufgemacht reicht das? Was muß ich bei Zone Alarm einstellen damit er mein Heimnetzwerk (Lap mit Wireless draufzugreifen läßt ich muß ihn immer abschalten!)?

Zitat:

Zitat von frankB

Nicht einfach löschen frag hier mal die Spezialisten bei mir ging dann gar nix mehr auch Systemwiederherstellung und Internet tot!

Hallo frankB,

lade Dir bitte den eScan runter, update ihn online und führe ihn offline im abgesicherten Modus aus ... siehe hierzu die Anleitung unter angegebenem Link.

Bitte poste danach ein Logfile entsprechend http://www.trojaner-board.de/51130-a...ijackthis.html .

SD

Hallo,
habe alles gemacht, danke erstmal.
Besagte Datei wurde von escan gelöscht.

Logfile of HijackThis v1.98.2
Scan saved at 14:07:47, on 01.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\ICSMGR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\UNZIPPED\HIJACKTHIS1982\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ELSAChipGuard] C:\WINDOWS\ELSAUTIL\elsavect.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\ITOUCH\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2879f5cd...dxIE601_de.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab

Hallo frankB,

überprüfe bitte diese Datei bei Kaspersky Online Scan:

STMGR.EXE
Pfad: C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

Fixe bitte mit Hijack This:

(\*) falsch: http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -

SD

[edit] @ Christian, wo Du recht hast ... also ich meinte das Gleiche wie Christian:

(*/) richtig ... O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

ist zu fixen .... das andere ist ein Sehfehler.

Dies sollte noch raus:

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

eScan hat nun die Datei erledigt, oder?

Hallo, also:
a)Überprüfung der Datei STMGR.EXE ergibt nichts auffälliges
b)eScan hat die Datei mit dem Trojaner erledigt
c)Ich soll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
fixen ? (warum wird das bei der automatischen Auswertung nicht angezeigt, oder was ist das?)
mfg

Jetzt wird's angezeigt ...

Der Eintrag ist eh unwirksam.
Ich bilde mir ein, dass über diesen Weg Adware an den User übermittelt wurde.
Du kannst dies ruhig fixen.

@ frankB

das ist ein Programm, mit dem man einen QuickTimeInstaller auf seinem System 'installieren' kann, sehr wahrscheinlich Adware. Bitte fixen.

Hast Du Tools auf Deinem Rechner, die vor Spyware und Adware schützen? Schau mal hier.

SD

[edit] @ Christian ... ich sah Dich nicht, hab das Programm gesucht ;) [/edit]

Ja, habe ich. Und zwar Ad-Aware 6 Personal, Danke.

Zitat:

Zitat von bambuswolle

Hallo, I hope you speak Englisch, this is the first bulletinboard where I find something about TR/dldr.Small.SE, I have the same problem, where did you find it in your registry because my AV Personal scanner can't delete it, it's talking about viruses found in archives which can't be deleted or repaired. Can you help, how did you get rid of it???? Many thanks!! You can answer in German, I understand this

@Annamaria

Delete your Temp. Internet Files, your Cookies and your Process of the Internet.

@ Annamaria

Whats the directory the virus is found in? Please create a logfile with HJT similar to the one already posted here and copy it into this thread.

http://www.trojaner-board.de/51130-a...ijackthis.html

Zitat:

Zitat von *Christian*

@Annamaria

Delete your Temp. Internet Files, your Cookies and your Process of the Internet.

I did delete temp.internet files and cookies, process of the internet I don't know, how do I delete this?

Zitat:

Zitat von MountainKing

This is my logfile:

Please just copy and paste the text to here instead of attaching it in a file.

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

You probably never updated your system and thats always a bad sign. I highly recommend to visit windowsupdate and get ALL available patches for XP and IE, otherwise youre still vulnerable to old bugs that threatens your systems security.

C:\Program Files\Messenger Plus! 3\MsgPlus.exe

Messenger Plus contains Adware, you should uninstall it.
reg.planet.nl is your ISP I guess?

Get clearprog www.clearprog.de and clean your temporary folders with it.

Get Escan:

http://www.trojaner-board.de/42731-escan-anleitung.html

update it and run a full scan in safe mode as described. Reboot in normal mode and create a new logfile, if E-Scan found something, please post the information about that as well.

Zitat:

Zitat von MountainKing

Hello,Mountainking

I"m Sorry, maybe stupid but I do not know how to copy into this thread, I also have a logfile from a scan of today from my AV personal , how can I copy this?

Hello Annamaria,

please take a look to learn how to copy&paste. But please, don't take the logfile from AV personal to this board, only the names from the bad programs. Thanks.

SD

Zitat:

Zitat von Shadowdance

Hello Annamaria,

please take a look to learn how to copy&paste. But please, don't take the logfile from AV personal to this board, only the names from the bad programs. Thanks.

SD

I don't know which are the bad programs otherwise I should have deleted them already, but I think the problem is solved, my virusscanner doesn't detect it anymore, I have used the eScan program and Clearprog and Spybot as someone said. Strange that Adware and an online scanner didn't detect and delete this Trojan. But for now it is gone..... Thanks for the advice

@ Annamaria

it's not strange, because there are virus-programs which lay so deep in the systems that they only can be deleted by antivirusprograms which are used in the save modus.

Good luck and if you have some more questions, you are welcome.

SD