Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe bei Trojaner "Small.Dld.FO (https://www.trojaner-board.de/2332-hilfe-trojaner-small-dld-fo.html)

redfox2004 08.04.2004 20:53
Hallo, ich bin neu hier und habe leider keine Ahnung was Trojaner angeht.
Ich habe grade mit Antivir einen scan durchgeführt und da bekam ich die Meldung das ich einen Trojaner (s.o.) drauf habe, dieser aber nicht gelöscht werden kann. Hier einmal die Report Datei von Antivir:
Start des Suchlaufs: 08.04.2004 20:30

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK
Bootsektor von Laufwerk E: OK


C:\_RESTORE\ARCHIVE
FS33.CAB
ArchiveType: CAB (Microsoft)
--> A0136508.CPY
[FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO
--> A0136509.CPY
[FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO
--> A0136513.CPY
[FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO
FS31.CAB
ArchiveType: CAB (Microsoft)
--> A0136319.CPY
[FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO
FS41.CAB
ArchiveType: CAB (Microsoft)
--> A0137905.CPY
[FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO
--> A0137907.CPY
[FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO


Aufgrund der Beiträge im Forum habe ich schon Spybot und Ad-aware drüberlaufen lassen. Auch Hijack habe ich versucht, kann aber mit dem Ergebnis nichts anfangen. Kann es sich eventuell auch um einen Fehlalarm handeln? Norton Antivirus 2003 hat nichts angezeigt. Hier noch das Ergebnis von Hijack:

Logfile of HijackThis v1.97.7
Scan saved at 21:05:40, on 08.04.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\KEYBOARD\SPEEDKEY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
E:\PROGRAMME\SLYSOFT\CLONECD\CLONECDTRAY.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
E:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
E:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MSI\PC ALERT III\ALERT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\DOWNLOAD\HJT.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.chip.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = hxxp://www.internetcologne.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "e:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [RunAlert] C:\Programme\MSI\PC Alert III\AService.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: PC Alert III.lnk = C:\Programme\MSI\PC Alert III\alert.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - E:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - E:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Preispiraten 2.01b (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {407F5185-3B2E-4196-982B-1E258C46F8FD} (SafePatchCtl Class) - ftp://ftp.ea.com/pub/easports/patches/nhl2003/en-us/nhl.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

Ich hoffe Ihr könnt mir helfen.

Yopie 08.04.2004 22:05
Hi redfox2004,

willkommen an Board.

</font><blockquote>Zitat:</font><hr />C:\_RESTORE\ARCHIVE</font>[/QUOTE]Die Malware ist in der Systemwiederherstellung.
Diese deaktivieren, nochmal scannen, und dann müsste alles clean sein.

Siehe auch http://www.systemwiederherstellung-d...indows-xp.html

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

redfox2004 09.04.2004 13:22
Hallo Yopie,
habe deinen Tipp befolgt. Antivir gibt keine Meldung mehr. Danke für die schnelle Hilfe!!!!!

Gruß
redfox2004 [img]graemlins/aplaus.gif[/img] [img]graemlins/party.gif[/img]

domii 24.04.2004 14:42
Hi!

Hab ein ähnliches Problem. Auf Windows 2000!!
Da gibt es keine Systemwiederherstellung.
AntiVir entfernt den Virus löscht ihn.
Nach neustart ist er wieder da.
Es Handelt sich offenbar um verschied. Viren.

TR/StartPage.FW
TR/Small.Dld.FO!

AntiVir sagt auf dem PC z.B.:
23.04.2004,20:18 AntiVirService Version: 6.24.00.01 AVE Version 6.25.0.2 VDF Version: 6.25.0.17
23.04.2004,20:18 Der AVGuard Dienst wurde erfolgreich gestartet!
23.04.2004,20:26 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.FW!
C:\DOKUMENTE UND EINSTELLUNGEN\*********\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\OV7YKUQI\M[1].BIN
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
23.04.2004,20:27 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.FW!
C:\WINNT\SYSTEM32\KAL.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!


Was nun? Bitte um Hilfe!!

Shadow 24.04.2004 15:58
@ Domii:
-lösche alle(!) temporären Internetdateien!
-Mache Online-Scan mit anderem AV-Programm
-Versuche mal AdAware + Spybot S&D (Quelle siehe Signatur)
-eventuell ein HiJackThis-Log erstellen und hier posten, aber nimm/mach einen eigenen Thread, sonst kommt man durcheinander


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27