TR/DLdr.Small.afg

DaBel · 21.06.2005, 11:14

Hallo Board,

Antivir hat bei mir im System folgendes entdeckt TR/DLdr.Small.afg die infizierte Datei heißt fab166.cab.

Wenn ich nach der Datei suche kann meine rechner diese noch nicht einmal finden.

Weiß einer Rat, wie ich den Plagegeist loswerden kann?

mfg

chaosman · 21.06.2005, 19:23

@DaBel
poste bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493

chaosman

DaBel · 27.06.2005, 09:36

Logfile of HijackThis v1.99.1
Scan saved at 16:45:06, on 22.06.2005
Platform: Windows ME (Win9x 4.90.3000A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\TRUST\AMI MOUSE 250S CORDLESS\AMOUMAIN.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\EPSON\EPSON SMART PANEL FOR SCANNER\ESPMAIN.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\MESSENGER\MSMSGS.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programme\EPSON\EPSON SMART PANEL for Scanner\EspMain.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE

Gigamail · 27.06.2005, 09:59

Hi DaBel

dein Log ist unaufällig, wahrscheinlich befindet sich der Fund in deinen Temporary Internet Ordner. Bei ME bin ich mir nicht ganz sicher wie du versteckte Dateien anzeigen kannst, aber ich denke es ist wie bei XP.Probiere es aus

Windows Explorer --> "Extras/Ordneroptionen" --> "Ansicht" --> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren --> "OK"

dann solltest du auch die Datei finden. Lade ClearProg Haken setzen bei alles löschen und auf ok. Danach nochmal scannen falls noch was gefunden wird wieder melden und den Ordner des Fundes mitteilen

DaBel · 01.07.2005, 10:10

habe alles gemacht, doch der virus ist immer noch zu finden und zwar im ordner c:\_RESTORE\FAB166.cab

Gigamail · 01.07.2005, 10:21

Lade den Total Commander und nehme folgende Einstellung vor:
Total Commander öffnen --> Konfigurieren --> Einstellungen --> Ansicht --> Haken bei "Versteckte und Systemdateien anzeigen (nur für Experten)" --> Ok
Gehe im rechten Fenster zum entsprechenden Ordner/Datei (mit Leertaste oder rechter Maustaste markieren --> F8 --> JA

TR/DLdr.Small.afg

Plagegeister aller Art und deren Bekämpfung: TR/DLdr.Small.afg

TR/DLdr.Small.afg

TR/DLdr.Small.afg

TR/DLdr.Small.afg

TR/DLdr.Small.afg

TR/DLdr.Small.afg

TR/DLdr.Small.afg

Ähnliche Themen: TR/DLdr.Small.afg

21.06.2005, 11:14	#1
DaBel	TR/DLdr.Small.afg Hallo Board, Antivir hat bei mir im System folgendes entdeckt TR/DLdr.Small.afg die infizierte Datei heißt fab166.cab. Wenn ich nach der Datei suche kann meine rechner diese noch nicht einmal finden. Weiß einer Rat, wie ich den Plagegeist loswerden kann? mfg

21.06.2005, 19:23	#2
chaosman	TR/DLdr.Small.afg @DaBel poste bitte ein HJT logfile http://www.trojaner-board.de/showthread.php?t=17493 chaosman __________________ __________________

01.07.2005, 10:10	#5
DaBel	TR/DLdr.Small.afg habe alles gemacht, doch der virus ist immer noch zu finden und zwar im ordner c:\_RESTORE\FAB166.cab

01.07.2005, 10:21	#6
Gigamail	TR/DLdr.Small.afg Lade den Total Commander und nehme folgende Einstellung vor: Total Commander öffnen --> Konfigurieren --> Einstellungen --> Ansicht --> Haken bei "Versteckte und Systemdateien anzeigen (nur für Experten)" --> Ok Gehe im rechten Fenster zum entsprechenden Ordner/Datei (mit Leertaste oder rechter Maustaste markieren --> F8 --> JA __________________ --> TR/DLdr.Small.afg