Tr/claldr.dummy.c

#1 Kann mir jemand helfen, wie ich den Trojaner von der Festplatte löschen kann? Wenn ich den Virenscann laufen lasse, sagt er mir, daß er im Archiev ist. Ist er somit inaktiv? Sind Viren, Trojaner noch aktiev, wenn sie archiviert sind? Kann man archivierte Viren, Trojaner auch löschen? wie? Wäre toll, wenn sich jemand meldet.

Grüße

#2 Hi Solfat

Wenn der trojaner "nur" in einem Archiv, sprich winzip oder rar-datei, ist dann ist er nicht aktiv.

Poste doch einfach mal genau die Meldung die dein Virenscanner bringt.

Dun kannstr auch einfach die ganze Archivdatei löschen,wenn du sicher bist das du Sie nicht mehr brauchst.

Gruß paff

P.S.
Ein paar hinweise auf dein System, welches Betriebssystem welcher VirenScanner usw. wären hilfreich.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 Hi Paff,

danke für deine Antwort, sorry, war n paar tage verreist. Kümmere mich nochmal drum und melde mich bei dir. Habe WIN2K, und AntiVir free version

#4 Servus !

Hab genau den gleichen Trojaner unter Win XP mit meiner Antivir-Free Edition gefunden. Ich wählte dann den Menüpunkt löschen - die Datei befand sich jedoch weiterhin in ihrem Verzeichnis.
Hab erst Ad-Aware scannen lassen und hab tatsächlich auch etwas gefunden:

win32.small.trojan

Hab es entfernt, zusätzlich noch die Datenträgerbereinigung durchgeführt und alle Cookies, Offline-Inhalte und den Cache gelehrt.
Zur Sicherheit hab ich nochmals HijackThis drüber laufen lassen.
Hier das Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\NN-Script\mIRC\mirc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Opera7\Opera.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MR_MOR~1\LOKALE~1\Temp\Rar$EX00.392\HijackThis.exe
C:\DOKUME~1\MR_MOR~1\LOKALE~1\Temp\Rar$EX00.306\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hellfighter.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/19840c0b819db3161a22/netzip/RdxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE1BEB48-8562-4785-8C9E-4D9971514EF7}: NameServer = 217.237.150.33 194.25.2.129


Um Hife wäre ich echt dankbar - werde nochmal Spybot SD drüberbügeln und dann hoffen das der Trojaner weg ist

gruß
Morrison

#5 @Morrison

Dein Log sieht sauber aus

DIese Sachen kannst du in HiJAckThis fixen
SInd nicht ungefährlich, nur unnötig
O4 - Global Startup: BTTray.lnk = ?
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/19840c0b819db3161a22/netzip/RdxIE601_de.cab

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#6 Hey, hoffe ihr könnt mir helfen!
Habe folgende Viren auf dem PC:
Report von Antivir Free auf Windows XP:
C:\Dokumente und Einstellungen\JonesL\Lokale Einstellungen\Temp
~DF127D.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\JonesL\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QFQRJXK1
count4[1].jar
ArchiveType: ZIP
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/ClaLdr.Dummy.C




Das hier ist mein HiJackLog:

Logfile of HijackThis v1.97.7
Scan saved at 16:29:38, on 08.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\JonesL\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Habe auch schon Ad-aware drüberlaufen lassen, hat auch nix gefunden.
Und nat. Spybot-Seach&destroy hat auch nix gefunden.


Hoffe mir kann jemand helfen!!!

Grüsse, Jonas

#7 Hallo,
dein Log-File ist sauber.
Melde dich im abgesicherten als Admin an und entferne diese temporären Dateien oder Rechtsklick auf Internet Explorer -> Eigenschaften -> Reiter Allgemein -> Temporäre Internetdateien -> Dateien löschen.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#8 Hey!
Sorry, dass ich mich jetzt erst melde.
Vielen dank, es hat geklappt!
Is echt ne super Seite, kann man nur empfehlen!

Jonas

#9 also wo ihr sagt sauber,denk ich mal da sind trojaner bei,smss.exe,services.exe und lsass.exe sind glaube gefärhlich

#10

Zitat

Anubiz postete
also wo ihr sagt sauber,denk ich mal da sind trojaner bei,smss.exe,services.exe und lsass.exe sind glaube gefärhlich

Da glaubs du extrem falsch.
Das sind alles ganz normale Windows Prozess.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#11 Boh, ich habe da diesen netten TR/claldr.dummy.c.. find ich ja echt klasse... könnte mir jemand evnt. behilflich sein und mir sagen, wie ich den wegbekomme??? sollte jemand so nett sein, kann der jenige es auch mädchengerecht *lacht* machen? hab nicht ganz so viel ahnung...
danke schön! ;-) Refused

#12 @Refused

Hi und willkomen an/im Board

Virenscanner updaten

Dann lösche alle Temp Internetfiles
IE Menu Extras/Internetoptionen/Dateien löschen

Deaktiviere Systemwiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Dann geh in den Abgesicherten Modus und scanne mit deinem Virenscanner.

Poste bitte mal das HiJackThis Loggile
http://hjt.klaffke.de/

und aktiviere wieder Systemwiederherstellung

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#13 Rechtsklick auf Internet Explorer -> Eigenschaften -> Reiter Allgemein -> Temporäre Internetdateien -> Dateien löschen.

__________
MfG Mezcal