tr/dldr.small.or
 

Guten Tag,
mein <AntiVir> meldete eben den Trojaner "tr/dldr.small.or".

Ich habe diesen als zip.Datei auf C:\ gefunden und die Datei per <Winzip> in einen zipOrdner abgelegt.
Danach habe ich per <AntiVir> diese beiden Dateien (explorer.cab & eine ini.Datei?)
überschreiben und löschen lassen.
War das im Ansatz richtig?
Ich habe Euch eben erst kennen gelernt und zu meinem Thema eine Menge Beiträge gefunden, die mich doch jetzt etwas unsicher machen.

MfG
Kalle

Wo genau wurde denn der Trojaner gefunden?

Lösche auf jeden Fall mal deinen Temp. Internet Files.

Mein <AntiVir> meldete mir den! Entdeckt danach auf C:\.
Habe ich per <ClearProg> gemacht!

Kalle

Wo genau auf c?

Pfadangabe!

Sorry, Christian, direkt auf C:\! In keinem weiteren Unterordner!

Kalle

Poste mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Christian, ich habe mich wahrscheinlich etwas zu weit aus dem Fenster gelegt.
Der Hijacher ist schon weg! Zumindest melden mir <AntiVir & Spybot & Ad-aware> i.M. keinen Alarm.
Ich wollte nur wissen ob ich generelle Fehler gemacht habe, da ich Euch erst nach meiner Prozedur gefunden habe.

Da ich es mit englisch nicht so gut drauf habe, hier noch mal eine Frage.
In Euren Beiträgen wird viel von "fixen" geschrieben, kannst Du mir das noch kurz erklären?
Gehe aber trotzdem zu <www.klaffke.de>, weil ich mittlerweile gaube das braucht man hier! :-)

Erstmal danke für Deine Hilfe
Kalle

Logfile of HijackThis v1.98.2
Scan saved at 14:26:43, on 03.10.2004

Ich glaube da kommt was auf mich zu?
Gib es eine deutsche Anleitung für das Programm?

Danke im voraus
Kalle

Fixe dies mit HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
http://www.power-search.info/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.power-search.info/sp.html
R3 - Default URLSearchHook is missing
O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN
Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O2 - BHO: (no name) - {F3C35F31-DCAA-23E8-21EA-00AC5AD3470E} - (no file)
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN
Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...8a29296baabe1d6
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binari...tia32_EN_XP.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binari.../EGDHTML_XP.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...StatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binar...ireShowdown.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O19 - User stylesheet: (file missing)


Hier ist eigentlich alles ganz schön erklärt:
http://grinko.gr.funpic.de/html/hijackthis.html

Auswertung von HijackThis: www.hijackthis.de

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Unbedingt windowsupdate besuchen und alle wichtigen Patches für XP und den IE installieren!

Hallo Christian,
danke für Deine Mühe!

Ich habe aber noch ein paar Fragen.

Nachdem ich über HijackThis mein Logfile gescant und gespeichert habe, muss ich jetzt diese Datei per <Fix checked> auf HijackThis löschen lassen?

Oder (Und?) wie von "Grinko" beschrieben, per Hand (über <Suchen>) löschen?

Was bedeutet jetzt aber Dein Beitrag vom 03.10.2004 19:50?

Kannst Du mir noch mal helfen?
Kalle

Ja, mache ich, sowie ich hier fertig bin! Danke für Deinen Hinweis!
Kalle

Hallo Kalle,

druck Dir den Beitrag von *Christian* vom 03.10.2004 19:50 aus oder speichere ihn so auf Deiner Festplatte, dass Du ihn offline sehen kannst.

Wenn Du offline bist, geh' bitte in den abgesicherten Modus, öffne dort das Programm Hijack This, klicke auf Scan. Nun erscheinen all die Einträge in dem Hijack This-Fensterchen, die wir in Deinem Logfile gesehen haben. Vor jedem Eintrag ist ein Kästchen. Dort kann man mit der Maus ein Häkchen setzen.

Du nimmst nun die Liste der zu fixenden Einträge von *Christian* vom 03.10.2004 19:50 zur Hand, vergleichst sie mit den Einträgen in Deinem Hijack This-Fensterchen und setzt überall dort ein Häk'chen, wo *Christian* geschrieben hat, dass ein Eintrag zu fixen ist. Wenn Du das gemacht hast, also vor alle zu fixenden Einträge ein Häk'chen gesetzt hast, klickst Du auf Fix checked. Kann sein, dass Dich das Programm HiJack This dann fragt, ob Du den Eintrag wirklich löschen willst. Klicke mit der Maus auf 'yes'.

Wichtig ist, dass Du genau hinschaust, was Du tust und die Liste von *Christian* vom 03.10.2004 19:50 sehr genau mit Deinen Einträgen vergleichst und die richtigen Einträge fixt. Mit ein bißchen Konzentration auf die Sache sollte das eigentlich ohne Probleme möglich sein.

Viel Erfolg
SD

Hallo Shadowdance

so weit habe ich das verstanden, werde aber mit jedem weiteren Beitrag unsicherer!

Werden denn z.B. der Internet Browser und der MS Messenger bei dieser Aktion komplett gelöscht oder laufen die dann noch?

MfG
Kalle

Nein, es werden mit HJT keine Programme gelöscht, du löscht lediglich deren Einträge in der registry, so dass sie nicht mehr gestartet werden. Es gibt außerdem eine Backupfunktion, so dass du die Änderungen auch wieder rückgängig machen könntest. Wobei es um den IE sowieso nicht schade wäre. :) Ein Alternativbrowser wie opera oder firefox wäre immer zu empfehlen.