Trojaner-Board - 3x TR/Dldr.Small.D.1-Trojaner auf meinem Rechner.

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - 3x TR/Dldr.Small.D.1-Trojaner auf meinem Rechner. (https://www.trojaner-board.de/6991-3x-tr-dldr-small-d-1-trojaner-meinem-rechner.html)

3x TR/Dldr.Small.D.1-Trojaner auf meinem Rechner.

Hi!

Habe kurz nach dem Einloggen in ebay ein weiteres, scheinbar von Windows generiertes Fenster geöffnet bekommen, indem ich nochmals Benutzernamen u. Passwort eingeben sollte. Habe die Aktion dann abgebrochen und man den Anti-Vir durchlaufen lassen.
Der hat dann gleich dreimal "TR/Dldr.Small.D.1" auf meinem Rechner gefunden. eine "COMM.DLL" war sogar direkt auf dem Desktop von XP.
Anti-Vir hat es als Trojander identifiziert u. gelöscht.
Habe allerdings trotzdem etwas Sorge, das der Trojaner schon gesendet hat.
Oder hätte ich die DLL erst ausführen müssen??

Steht das Fenster in ebay im Zusammenhang mit dem Trojaner??

Hallo Micha71,

lade Dir vorsichsthalber eScan runter, update es online und scanne Deinen Computer damit im abgesicherten Modus offline, entsprechend der Anleitung in diesem Thread Lade Dir dann bitte HijackThis runter und poste bitte ein logfile - entsprechend der Anleitung.

Ob das aufgeklappte Fenster mit dem Trojaner zu tun hat, weiss ich nicht. Es kann ein POP-UP gewesen sein.

SD

Ok. Danke! Ich werde das Morgen sofort in Angriff nehmen!

Hallo!

Das Log File erstellen ging ja etwas schneller, als der Scan mit "ESCAN" :D

Logfile of HijackThis v1.98.2
Scan saved at 21:50:19, on 24.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
F:\WINDOWS\Explorer.EXE
D:\Programme\Norton SystemWorks_XP\Norton Personal Firewall\NISUM.EXE
D:\Programme\TrueImage\TrueImageMonitor.exe
F:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
F:\WINDOWS\System32\taskswitch.exe
F:\WINDOWS\System32\fast.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
F:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
F:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
F:\PROGRA~1\Nokia\NOKIAP~2\TRAYAP~1.EXE
F:\WINDOWS\System32\RUNDLL32.EXE
F:\WINDOWS\System32\ctfmon.exe
F:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\ONLINETIMER PRO\ontime.exe
F:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
F:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
F:\WINDOWS\system32\RAMASST.exe
F:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
F:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
F:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\Programme\Norton SystemWorks_XP\Norton Personal Firewall\ccPxySvc.exe
F:\WINDOWS\System32\DVDRAMSV.exe
F:\WINDOWS\System32\Fast.exe
D:\Programme\Norton SystemWorks_XP\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton SystemWorks_XP\Norton Utilities\NPROTECT.EXE
F:\WINDOWS\System32\nvsvc32.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
F:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
F:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programme\GetRight45d\getright.exe
F:\Dokumente und Einstellungen\Achim\Desktop\hijackthis1982\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks_XP\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks_XP\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Acronis True Image Monitor] d:\Programme\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] F:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] F:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] F:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] F:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "F:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [IDesktop] F:\PROGRA~1\IMMERS~1\IMMERS~1.1\IDesktop.exe 1
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "F:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [DataLayer] F:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] F:\PROGRA~1\Nokia\NOKIAP~2\TRAYAP~1.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [czydwn] F:\WINDOWS\qqggmfhbm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [OnlineTimer Pro] D:\Programme\ONLINETIMER PRO\ontime.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: RAMASST.lnk = F:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Google Search - res://F:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://F:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://F:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight45d\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://F:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://F:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://F:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://F:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight45d\GRbrowse.htm
O8 - Extra context menu item: Senden an &Bluetooth - F:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Si&milar Pages - res://F:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a2edc6fc4885a4
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/mmed.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

Danke schonmal für die Hilfe !!!!!!!!:daumenhoc

Fixen:
O4 - HKLM\..\Run: [czydwn] F:\WINDOWS\qqggmfhbm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...aa2edc6fc4885a4
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...ol_v1-0-3-9.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/mmed.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab

Evtl. mal eScan im abgesicherten Modus scannen lassen: http://www.trojaner-board.de/showthread.php?t=6083

Verwende einen sicheren Browser: www.firefox-browser.de ist schnell, sicher und kostenlos.

Danke für Deine Antwort!

Leider bin ich im Augenblick etwas überfordert. Was bedeutet "fixen"?
Mit Escan habe ich gestern nochmal einen Durchlauf gemacht. Es werden noch 8 Fehler gefunden, aber keine bösen Programme mehr ! :crazy:

MfG

Fixen bedeutet, dass du bei Hijackthis vor die genannten Einträge ein Häkchen setzt und dann auf "Fix checked" klickst.

Alles klar. Mache ich! :o

Und was passiert dabei genau?

MfG

Die schädlichen Prozesse werden beendet.

Danke!
Habe alles erledigt!
:D

hallo,

habe meldung von AntiVir gekriegt, das ein dailer names TL.DLDR.Dialer
auf meinem Recher ist.
Hab dann gesagt löschen, ich bin mir aber net sicher ob er weg ist
(habe erst gerade 2 Nachtschichten wegen so nen anderer Wurm hinter mir, will net, das es noch mal passiert)

Ach so, Hijack hab ich auch gemacht (ich erkenn da gar nix raus =)

Logfile of HijackThis v1.98.2
Scan saved at 16:56:04, on 27.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\htpatch.exe
D:\WINDOWS\System32\RunDll32.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\AVPersonal\AVSched32.EXE
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\stefan\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] D:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ToADiMon.exe] D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093556113794

Hat jmd ahnung, ob jetzt noch nen dialer, wurm etc auf meinem rechner drauf ist?

Naja danke schon mal und nen schönen tag noch

Im Log seh ich nicht wirklich etwas.
Du solltest jedoch unbedingt www.windowsupdate.com besuchen und alle Patches und Updates installieren.

Tipp: Du verwendest den IE als Browser.
Es gibt auch andere, die sicherer sind: www.firefox-browser.de ist auch noch schnell und kostenlos. :crazy:

vielen dank auch
ich hab mir Mozilla Firefox gesaugt, ist das auch sicher?

?Eine Frage noch: Wie funktioniert eine Firewall. Was blockt die? Wenn iich z.B.: ne Inetsite öffne, und da irgentwie nen virus hintersteckt, blockt der den virus/ganzesite/etc....?

?Ist Norten Security gut?

?Hilft es, wenn ein Virus die Platte schon befallen hat, und man es danach erst installiert?

?Ist Norton AntiVirus besser als mein jetziges Programm (AntiVir)?

Vielen Dank noch mals

Zitat:

Zitat von Stefan H

vielen dank auch
ich hab mir Mozilla Firefox gesaugt, ist das auch sicher?

Das ist der Browser, den ich dir nannte. Jedenfalls bist du gegen Hijacker immun. Außerdem gibt's nicht so viele Sicherheitslücken wie beim IE.

Zitat:

Zitat von Stefan H

?Eine Frage noch: Wie funktioniert eine Firewall. Was blockt die? Wenn iich z.B.: ne Inetsite öffne, und da irgentwie nen virus hintersteckt, blockt der den virus/ganzesite/etc....?

Eine Firwall blockiert keine Viren.
Im Prinzip erübrigt sich eine Firewall, wenn du manuell alle Dienste schließt, die du nicht brauchst/Ports schließt: http://www.dingens.org

Zitat:

Zitat von Stefan H

?Ist Norten Security gut?

Ich würde von Symantec-Produkten Abstand nehmen.
Wenn du hier ein bisschen suchst, dann weisst du auch warum.
Eine Firewall brauchst du nicht. AntiViren-Programme gibt es bessere, wie z. B. von:
G-Data, Anti-Viren-Kit
F-Secure
Kaspersky

Zitat:

Zitat von Stefan H

?Hilft es, wenn ein Virus die Platte schon befallen hat, und man es danach erst installiert?

Man weiss nicht, welchen Schaden schon eine aktive Malware angerichtet hat. Ein Virenscanner könnte Malware finden und entfernen. Es könnten aber noch Reste auf deinem System bleiben.

Zitat:

Zitat von Stefan H

?Ist Norton AntiVirus besser als mein jetziges Programm (AntiVir)?

Bezüglich Erkennungsraten kannst du mal hier schauen:
http://www.rokop-security.de/main/article.php?sid=693
Oder ganz frisch: http://www.av-comparatives.org/seite..._2004_08zz.php