na...ME hab ich...kapiers vielleicht nur einfach nicht??  

Hallo und Tach auch!
Habe mit Interesse diesen Thread verfolgt,da auch ich
das kleine Miststück _Dldr.Small.OR_ in der _explorer.CAB_ auf c:\ gefunden habe.
Habe allerdings nix HighJack...weil nix verstehen das proggy  ???--hab nur Antivir 6,Mcafee_stinger und escan.Der Stinger und Escan haben komplett versagt ,darum hab ich die _explorer.CAB_ erstmal auf Diskette verschoben!
Nun aber mal zwei basis-Fragen an die Spezis:

- WAS genau erschnüffelt dieser Trojaner...und:
- Wird die _explorer.CAB_ überhaupt vom XPpro
  genutzt?
(Soweit ich weiß,werden CAB-dateien nur zum Wiederherstellen des Systems benötigt und somit nur auf der Pladde abgelegt....oder?)

Den _Dldr.Small.OR_ hab ich mir wohl scheinbar beim surfen auf den Schmuddel-seiten zugezogen...*schäm*

Fallz jemand genaueres weiß,schreibt mir doch bitte 'ne kurze Email an meine Addy:[email protected]

Ich nutze einen komplett-system-schutz mit dazugehöriger Firewall auf einem:
AMD athlon1800+(msi kt3 ultra-2 mainboard)
ati radeon9600 gfx-board 256mb

greetinx @ all
toddle
P.S.:
ein spezieller Trojaner-jäger wär nicht schlecht....irgendwelche Vorschläge??

Hallo zusammen,

ich hab ein ähnliches Problem wie viele hier vor mir auch schon. Um genau zu sein ich habe Win ME und den Antivir Virenscanner, seit kurzer Zeit findet mein Virenscanner in der Explorer[7].cab den Wurm TR/Dldr.Small.OR und kann diesen nicht löschen. Ich habe auch schon versucht eine Explorer*.cab zu suchen, ohne Erfolg.  

Habe aber schon mehrfach von "HijackThis" gelesen und auch mal ausprobiert. Sogar Online das gesamte Protokoll punkt für punkt bearbeitet... Hier die .Log Datei:

Logfile of HijackThis v1.98.2
Scan saved at 19:14:10, on 10.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startseite.de/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startseite.de/search2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O1 - Hosts: 66.40.16.218 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.2001.0001\DE\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.2001.0001\DE\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: CAPIControl.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.vobis.de

Kann mir jemand weiterhelfen, wie ich diesen Wurm beseitigen kann?

Vielen Dank im voraus.
Best wishes!

Hier Escan runterladen->updaten wie beschrieben
Nach dem Updaten mit Kavupd.exe befinden sich die neuen Signaturen entwder in c:\downloads oder im Temp-Verzeichnis des jeweiligen Users:

Beispiel-Temp-Verzeichnis:
x:\Dokumente und Einstellungen\_Username_\Lokale Einstellungen\Temp\Kav Updater update Files

(x: = Laufwerksbuchstabe wo das Betriebsystem installiert ist, _Username_ = Profilname des jeweiligen Users)

Die Files müssen dann aus dem Ordner wo die neuen Signaturen liegen nach c:\bases kopiert werden.

Danach Offline gehn->Systemwiederherstellung deaktivieren(ME/XP)

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten(siehe Systemwiederherstellung deaktivieren) -> Escan starten (doppelklick mwavscan.com in c:\bases)

Folgende Einstellungen Auswählen in Escan:
Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und Scan All Files und das System damit scannen(Scan Clean).

Danach ganz normal booten und wenns immernoch so ist ein LOG machen mit HIjackthis V1.98.2
Wenn nicht die Systemwiederherstellung wieder aktivieren.

Gruß

Hallo Nighty,

zunächst vielen Dank für die superschnelle Antwort und Hilfe!

Ich habe alles so ausgeführt wie geheißen. ESCAN hat nicht nur den Trojaner sondern auch eine art Dialer in IEAccess2.dll gefunden.

Leide habe ich festgestellt, dass ESCAN kein Freeware-Produkt ist und es sogar $45,95 kostet. Gibt es auch noch eine andere Alternative?

Was kann ich noch machen?

Vielen Dank im Voraus.

Ne das Escan_tool was du geladen hast ist Freeware.
Es gibt aber auch ne Vollversion die kostet dann was.

Gruß

Ich hab das Tool nochmals heruntergeladen, es gibt kein "Clear Scan" sondern nur ein "Scan" Button und außerdem kommt der Hinweis, dass ein Virus gefunden wurde aber dieser nur mit der Vollversion gelöscht werden kann.

Gibt es noch eine andere Lösung? *fastverzweifelt*

Vielen Dank im voraus.

Dann haben sie was geändert...

Dann besorg dir Kaspersky-Trial version die läuft nen Monat umsonst.

Nach dem installieren unter Update -> erweiterte Datenbanken auswählen und dann Signaturen updaten danach den Rechner scannen.

Gruß

Hast du Ad-aware?? Wenn nicht dann lade es unbedingt!! Ansonsten Bitdefender