|
Plagegeister aller Art und deren Bekämpfung: TR/DLdr.Small.afgWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.06.2005, 11:14 | #1 |
| TR/DLdr.Small.afg Hallo Board, Antivir hat bei mir im System folgendes entdeckt TR/DLdr.Small.afg die infizierte Datei heißt fab166.cab. Wenn ich nach der Datei suche kann meine rechner diese noch nicht einmal finden. Weiß einer Rat, wie ich den Plagegeist loswerden kann? mfg |
21.06.2005, 19:23 | #2 |
| TR/DLdr.Small.afg__________________
__________________ |
27.06.2005, 09:36 | #3 |
| TR/DLdr.Small.afg Logfile of HijackThis v1.99.1
__________________Scan saved at 16:45:06, on 22.06.2005 Platform: Windows ME (Win9x 4.90.3000A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE C:\PROGRAMME\TRUST\AMI MOUSE 250S CORDLESS\AMOUMAIN.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE C:\PROGRAMME\WINZIP\WZQKPICK.EXE C:\PROGRAMME\EPSON\EPSON SMART PANEL FOR SCANNER\ESPMAIN.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\MESSENGER\MSMSGS.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe" O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE O4 - Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programme\EPSON\EPSON SMART PANEL for Scanner\EspMain.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE |
27.06.2005, 09:59 | #4 |
| TR/DLdr.Small.afg Hi DaBel dein Log ist unaufällig, wahrscheinlich befindet sich der Fund in deinen Temporary Internet Ordner. Bei ME bin ich mir nicht ganz sicher wie du versteckte Dateien anzeigen kannst, aber ich denke es ist wie bei XP.Probiere es aus Windows Explorer --> "Extras/Ordneroptionen" --> "Ansicht" --> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren --> "OK" dann solltest du auch die Datei finden. Lade ClearProg Haken setzen bei alles löschen und auf ok. Danach nochmal scannen falls noch was gefunden wird wieder melden und den Ordner des Fundes mitteilen |
01.07.2005, 10:10 | #5 |
| TR/DLdr.Small.afg habe alles gemacht, doch der virus ist immer noch zu finden und zwar im ordner c:\_RESTORE\FAB166.cab |
01.07.2005, 10:21 | #6 |
| TR/DLdr.Small.afg Lade den Total Commander und nehme folgende Einstellung vor: Total Commander öffnen --> Konfigurieren --> Einstellungen --> Ansicht --> Haken bei "Versteckte und Systemdateien anzeigen (nur für Experten)" --> Ok Gehe im rechten Fenster zum entsprechenden Ordner/Datei (mit Leertaste oder rechter Maustaste markieren --> F8 --> JA
__________________ --> TR/DLdr.Small.afg |
01.07.2005, 14:30 | #7 |
| TR/DLdr.Small.afg hab ich schon versucht, mit wird dann gesagt, dass die datei vom systems aus benutzt wird und läßt sich nicht löschen |
01.07.2005, 14:54 | #8 |
| TR/DLdr.Small.afg hats du das ganze auch im abgesicherten Modus ausgeführt? |
01.07.2005, 15:03 | #9 |
| TR/DLdr.Small.afg ja, aber leider auch ohne erfolg |
01.07.2005, 18:50 | #10 |
| TR/DLdr.Small.afg deaktiviere die Systemwiederherstellung http://www.pctipp.ch/helpdesk/kummer...iren/26316.asp neu booten Systemwiederherstellung wieder aktivieren |
Themen zu TR/DLdr.Small.afg |
board, datei, entdeck, entdeckt, folge, folgendes, infizierte, infizierte datei, loswerden, plagegeist, rechner, suche, system |