TR/Dldr.WinSh.AC.05

ich nochmal... hab R1+R0+O2 gefixt.. das problem ist dann nur für eine sehr kurze zeit behoben...
antivir schlägt danach wieder aus diesesmal zeigt er nicht mehr die sfotp.dll an sondern immer wieder neue dateien mit dem dateianhang .dll (nach jedem mal erscheinen wieder neue O2)

scheint ein neues problem zu werden.. im internet steht (noch)nicht viel darüber. und es macht sich ratlosigkeit breit bei denen die sich dieses teil eingefangen haben. sowas hartnäckiges hab ich noch nicht gesehen. wenn mir jemand helfen kann biittteee melden !!!

es ist schon traurig wie das internet mißbraucht wird und leute die es positiv nutzen wollen mit solchem mistkram aufgehalten werden !

Hallo Leute ich glaube ich habe gute Nachrichten  

AntiVir schlägt nicht mehr aus und ich glaube das Ding ist besiegt nachdem ich nun mein System manuell von dem Schädling bereinigt habe. AnitSpySoftware konnte bei dem Problem nicht helfen.

Der Schlüßel zu dem ganzen ist der Ordner in dem die ganzen .dll und .dat abgelegt werden und der Zeitpunkt an dem sich der Schädling ins System einnistet. Der Schädling befindet sich in einer .exe Datei.

Trotzdem danke für euer gehör... naja die meisten werden auf der Arbeit oder in der Schule sein. :-)

bye

Hi!

Ich hab genau das gleiche Problem und noch dazu das, das ich vom "wilden rumgefixe" keine Ahnung habe!
Also bitte ansagen, wo ich was klicken schreiben oder sonstwas muss und nicht dieses Fix-gefachsimple!
Also bitte ne Beschreibung für nen naja halt Tropentoni !

Danke

hi Maus82,
dann sag uns doch, in welcher exe.datei der Teufel liegt. Ich möchte ihn auch loswerden.

Problem ist auch bei mir aufgetreten

Windows Warnmeldung!!!

c:\Window\system32\FEVNZ.dll

vielleicht hilft das weiter bei der such ich probiers auch weiter und melde mich wieder wenn ich was neues weis

Gruß @ all

Hallo zusammen.

So wie es aussieht, werden die infizierten DLL Dateien mit einem zufälligen Namen im Verzeichnis C:\Windows erzeugt (damit man im Internet nicht so einfach nach einer Lösung suchen kann). Meine Infektion scheint am 31.05. stattgefunden haben. Ich möchte euch bitten mal herauszufinden, wann eure Infektion stattgefunden hat und dann euren PC nach allen Dateien von diesem Datum zu durchsuchen. Somit könnten wir das Problem vielleicht eingrenzen.
Ich habe zu diesem Zeitpunkt die Programme FreeCiv (ein freier Civilisation-Clone) und SmartFTP (ein Shareware FTP-Client) installiert. Hat vielleicht jemand etwas ähnliches installiert?

Hier nochmal das vorgehen, für die, die nicht wissen, wie man Dateien eines bestimmten Datums sucht:
1) AntiVir meldet den Fund von TR/Dldr.WinSh.AC.05 in einer bestimmten Datei (bei jedem wahrscheinlich leider eine andere). Diese notiert man sich (inkl. dem Verzeichniss in dem diese sich befindet).
2) Dann wechselt man mit dem Explorer in dieses Verzeichniss und stellt die Darstellung auf Detail-Ansicht, damit wir das Erstellungsdatum der Datei herausfinden können. Nun die Datei in der Liste suchen und das Datum notieren.
3) Andere Dateien/Verzeichnisse des selben Datum suchen (XP):
-> Start
-> Suchen
-> Nach Dateien oder Ordnern ...
-> Dateien oder Ordnern
-> Wann wurde die Datei geändert
-> Datumsangabe
-> In "Von" und "Bis" das gleiche Datum, nämlich das der gefundenen Datei eintragen
-> Suchen

Wie gesagt, vielleicht gibt uns das Aufschluss über die Herkunft.

Nachdem ich AntiVir nochmals per InternetUpdate aktualisiert habe, habe ich noch folgende Dinge gefunden:

---
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP170
  A0016306.exe
      [FUND!] Enthält Signatur des Wurmes Worm/Kindal
      WURDE GELÖSCHT!
  A0016315.DLL
      [FUND!] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.05
      WURDE GELÖSCHT!
  A0016316.dll
      [FUND!] Ist das Trojanische Pferd TR/Dldr.WinSho.AF.1
      WURDE GELÖSCHT!
---

Außerdem wurde mir mittgeteilt (leider aber nicht protokolliert), dass die durch diesen Trojaner veränderten Registry Einträge auf ihre Standard Einstellung zurückgesetzt wurden. Man könnte vermuten, es sei alles entfernt worden, aber ich trau dem Braten noch nicht ganz. Da dies ein sehr neues Problem ist, meine Empfehlung nochmal:

Auf jedenfall vorher von AntiVir das InternetUpdate starten!

Wer AntiVir nicht hat, lädt es sich von http://www.antivir.de herunter (Personal Edition suchen).

Postet eure Erfahrung,
Richard

Hi,
ich hab all diese Dateien nicht, hab aber den Trojaner trotzdem. Der versteckt sich irgendwo und zündet immer wieder neu!

Hi,  noch ne Frage:
Wo löscht man eigentlich die ungewollten Startseiten heraus. Ich will google und nun kommt immer so eine blöde andere Seite (seit ich diesen Trojaner habe). Ein Löschen in Internetoptionen hilft nichts.
Kann mir jemand helfen?

Hi, noch ne Frage:
Wo löscht man eigentlich die ungewollten Startseiten heraus. Ich will google und nun kommt immer so eine blöde andere Seite (seit ich diesen Trojaner habe). Ein Löschen in Internetoptionen hilft nichts.
Kann mir jemand helfen?

Ich hab das Teil auch seit heute.

Bei mir heißt die erzeugte DLL "sqgha.dll".

Hab dann mal nach einer EXE gesucht, die heute erstellt wurde. Es gab nur einen Treffer namens "sdkmh.exe".

Hab schon versucht das Dingen zu löschen, aber die installiert sich immer wieder neu ins Verzeichnis C:\Windows.

Habe WindowsXP Prof.

Hi Richard,
danke.
Richtet dieser Trojaner eigentlich  noch mehr
schäden an, als dass er die Startseite ändert?
Wird Antivir dieses Problem nie lösen?
Anscheinend heißt der Trojaner bzw. die .dlls bei jedem anders.

Hi

nochmals ne dumme Frage:

Was versteht man unter " fixen" und wie geht es?

Also wenn der Virenscanner ihn findet->abgesicherter Modus-> systemwiederherstellung abschalten->System scannen->Datein werden vom AV entfernt

Spywqre-Tools drüberlaufen lassen um die Registry-Einträge zu fixen

Gruß

Hi Ihr alle,

ich bin ja gerade keine Hilfschülerin. Aber auch keine PC Spezialistin.
Ich´hab mir nun diesen Trojaner eingefangen und Antivir zeigt ihn mit jede Minute.

Kann mir jetzt jemand -ganz normal verständlich- erklären, was ich tun kann? Bitte keine Abkürzungen und genaue Anweisungen- oder kann das keiner?
Bitte helft mir
Solara