I finally found the path in the log file. It is the following:

C:Documents and SettingsÄgareLokala inställningarTemporary Internet
FilesContent.IE5Y3G3TIBE
loader[1].cab
ArchiveType: CAB (Microsoft)
--> loader.exe
[DETECTION] The Trojan horse TR/Small.DG

The problem is that the Content.IE5 folder does not exist. It doesn't even help
to show all hidden files and all system files. I don't understand how Antivir XP
can find this directory. I have to be able to find the file in order to remove it

Back to top


Rohel

Cadet


Joined: May 02, 2004
Posts: 1
Location: UK
Posted: Sun May 02, 2004 3:22 pm Post subject: TR/Small.DG

--------------------------------------------------------------------------------

I removed this thing in the following way:

In IE I went to Tools-> Internet Options -> then Delete Files -> Check
the 'Delete all offline content box'. That should do it.
Run your antivirus programme to check, it should be gone.

The offending file is probably not a virus, but adware or similar.


Gerard

Dit is niet het probleem, want de trojan heeft zich niet geïnstaleerd, maar wil
iedere keer binnenkomen.
En ik heb het bijgehouden, de melding komt iedere minuut.
En hij geeft dus een map aan die helemaal niet bestaat.

Groetjes,
Bianca.

probeer ad-aware is als het geen virus is is het mischien wel een
spyware????

hier kun je ad-aware douwnloaden :
http://www.lavasoft.nl

Bedankt, ik heb het programma gedownload en uitgevoerd, maar zelfs dat
helpt niet.

Bianca.

Je firewall beter instellen?

Hoe weet je dat die Trojan wil "binnen komen"?

Ik heb geen firewall.....



Omdat ik daar een melding van krijg via m'n antivir.

Bianca.

Welke AV?

Gerard

AntiVir Guard

Bianca.

Hoi, kijk hier eens even:

http://download.computer.msn.de/forum/thread.html?bwthreadid=639875

Gerard

Bedankt, maar dat heb ik vanmiddag allemaal al zitten doorlezen...maar echt
heel duidelijk is dat ook weer niet... en het helpt me niet verder :(

Bianca

Hmm, dan het volgende maar proberen. Maar wel s.v.p. in het engels. Ga
naar deze link:

http://www.wilderssecurity.com/forumdisplay.php?f=26

en handel verder zoals hier staat:

HOW TO? Read here about how to post your log!!

Je wordt redelijk snel geholpen.
Succes en misschien zie ik je daar.

Gerard

Hoi Gerard,

Bedankt! Ik heb maar een prive mailtje naar Paul Wilders gestuurd in t
Nederlands, want om nou het hele verhaal in t Engels te gaan opschrijven
kost me een hoop tijd, en misschien schrijf ik ook sommige dingen wel
verkeerd op, waardoor het helemaal een warrig verhaal word :)

Ik hoop dat hij me kan helpen, want ik word ondertussen stapelgek van de
meldingen iedere minuut!

Groetjes,
Bianca.

tadaaa.wav !

heb je winxp ? dan is je firewall zo aangezet. anders zou ik toch even iets als
zonealarm proberen ofzo. ik ben van mening dat het je probleem verhelpt en
als het niet helpt heb je toch weer mooi een extra laag security. naast een
virusscanner is een firewall gewoon nodig.

Ik heb de firewall die op XP zit aangezet, en dat helpt ook niets, de
meldingen blijven iedere minuut binnen komen.

Ik heb de pc zelfs in "veilige modus" opgestart en zo de map verwijderd
waar die trojan zich iedere keer in wilt nestelen, en ook dát helpt niet...
Ik weet nu echt niks meer te verzinnen. Dus als iemand anders nog goede
ideeën heeft, hoor ik die graag!

Bianca

Hoi,

Nog wat suggesties. Zoek en download Ewido security suite en scan.
Als je een bestandje hebt kun je het laten analyseren op de site van
Kaspersky. Je kunt je systeem nog eens online laten scannen,
bijvoorbeeld door Trend Micro en/of Panda. Verder gebruikt Antivir sinds
zijn laatste update ook heuristic scanning en dat wil nog wel eens een
false positive geven.

Gerard

Re: New strong heuristics for updated Antivir PE !

--------------------------------------------------------------------------------
Bianca,

Kijk ook nog eens even op de site van Antivir:
If you are missing the heuristic option in the main GUI, try downloading the
entire install package. A bug was fixed and a new package was uploaded on
May 21th. AVMain.exe should be dated to 11th of May 2005 and 643.112 bytes
in size.

The heuristic is having quite some false positives right now as it is in the
process of being optimized. Known false positives are WinVNC, WinZIP32,
WULOADER, ICSMGR, KLCONFIG.EXE and SPYBOT.EXE (1.0). If you find
more false positives, please send to [email]heuristik@antivir.de[/email].

Keep in mind that AntiVir has no PE EXE unpacking engine (not yet!) - this is
limiting the heuristic detection somewhat.

Gerard

Hoi Gerard,

Ik heb nu de Kaspersky Anti-virus personal op m'n pc staan, en een full
scan uitgevoerd. Daar heeft tie een aantal trojans opgemerkt en verwijderd.
Je zou dus denken..poeh..nu ben ik ervan af..! Maar niets is minder waar!
De meldingen komen nog steeds binnen....

Melding: Attention! An infected object detected.
Access to the object C:\...tempsiae3123.exe is blocked.
Object is infected with a virus TrojanDropper. Win32.small.gt.
It is recommended te delete this object.

En ik delete dan dus ook netjes...om vervolgens een minuut later weer
dezelfde melding te krijgen...en zo blijven we aan de gang.....

Bianca.

Bianca,

Zet je system restore(systeemherstel via start, help en ondersteuning) eens
uit, dan opnieuw opstarten en nogmaals scannen en verwijderen.
Vervolgens weer opstarten en dan system restore weer aanzetten en nog
een keer opstarten.
Groet,

Gerard

Als het al zover is dat er al een aantal trojans zijn verwijderd lijkt mij een
format/reinstall de eenige zinnige optie, aangezien het systeem al
volledig "aangepast" kan zijn door je "tegenstander"....
Echt waar ..format en reinstall anders blijf je bezig... in de toekomst
firewall aan, virusscanner, spyware remover aan, regelmatig
windowsupdate draaien en hopen dat het niet weer gebeurd (en ja dan
neem ik aan dat je geen onbekende programmatjes runt die je via email
of ineternet binnenkrijgt)

zet alsjeblieft je xp firewall niet aan!!!!! de winxp fire zuigt namelijk nogal. haal
gewoon ff zonealm pro ofzo op. daarna ff de serial erbij zoeken en presto!
Een zeer goede firewall, geheel gratis! :D

correctie: zone alarm pro
http://www.zonelabs.com/store/content/company/products/trial_zaFamily/trial
_zaFamily.jsp?home_freedownloads

Als je 10x binnen een minuut dezelfde trojan poogt je
systeem te besmetten zal deze waarschijnlijk al in je temp.
internet files staan.
Gooi deze map eens weg en gooi tevens je map temp leeg.

:?

ja mooie poging als je dat doet helaas bestaat de map ie5 temporary
internet files wel want dat is de map van internet explorer 5
het is mogelijk om je computer te updaten en je virusscanner ook ad-
aware ook updaten en dan een andere browser nemen mozilla of opera
ofzo

heb hetzelde probleem sinds ik guard geïnstalleerd heb . Kan er iemand in
gewone mensentaal uitleggen hoe ik daarvan af geraak.

ben hier terug en met goed nieuws voor anderen die ook in deze miserie
geraken, probleem opgelost door het installeren van godzilla.Ik kan nu terug
gewoon surfen.

toch niet deze:

Godzilla is a memory resident, file infecting virus. It infects .COM files.
Although it does not infect COMMAND.COM.
Upon infection, Godzilla becomes memory resident as a low system memory
Terminate-and-Stay Resident (TSR) of 1,152 bytes. Interrupts 1C and 21 are
hooked by the virus in memory.

Once the Godzilla virus is memory resident, it infects .COM files, as they are
executed.

It is not known what the Godzilla virus does besides replicate.

Additional Comments:
The Godzilla virus was received in July, 1995. Its origin or point of isolation is
unknown. Godzilla is a memory resident infector of .COM files, but not
COMMAND.COM. When the first Godzilla infected program is executed, this
virus will install itself memory resident as a low system memory TSR of
1,152 bytes. Interrupts 1C and 21 will be hooked by the virus in memory.
Once the Godzilla virus is memory resident, it will infect .COM files, but not
COMMAND.COM, when they are executed. Infected .COM files will have a file
length increase of 890 bytes with the virus being located at the end of the file.
The program's date and time in the DOS disk directory listing will not be
altered. The following text string is encrypted within the viral code: "AntiPascal-
1 (C)Godzilla Corp." It is unknown what the Godzilla virus may do besides
replicate.

Gerard

Wat start er allemaal op?? Kijk met Hijack en eventuele indringers ver-
wijderen.
Kijk ook eens in taakbeheer wat er actief is, maar onbekend.
Het is in feite onzin opnieuw te formateren. Indien Trojans gelocaliseerd
worden kunnen ze nog altijd met de hand verwijdert worden.
Laat eventuele handelingen hierboven wel doen door iemand die de zaken
kan herkennen!!!!!!!!!!! zmpet

Jongens jongens, ooit van het register gehoord ????
Daar staat waarschijnlijk dat zogauw de pc, opstart ook de trojan wordt
opgestart.

Dus daar ff zoeken , in de juiste sleutel ,en een goede process vieuwer
downloaden.
TaskInfo is een hele goeie.

Dan het process killen en de trojan handmatig verwijderen uit de system dir

En kaar is kees.

ik heb ook zo een probleem, telkens ik mijn computer opstart heb ik de
melding via mijn antivirus avast dat er een trojan is namelijk win 32 : revop
Deze wordt verwijderd, maar komt telkens terug, wat is hier eigenlijk aan te
doen, ik heb ook al van alles geprobeerd, dus je bent zeker niet alleen

Als een virus of trojan wel verwijderd wordt maar terug komt
zijn de volgende stappen de oplossing:

1 Update virusscanner
2 Zet system restore uit
3 Start de pc in veilige modus op (F8 tijdens opstarten)
4 Scan je pc en verwijder alles wat het vind (ook prullebak
leegmaken)
5 Start je pc gewoon
6 Zet system restore aan
7 Maak een system backup via system restore

De reden dat het zo moet is:

In je system restore backups zit dat virus ook,
dus na verwijderen uit het active deel staat het nog steeds
in je backups.
Door system restore uit te zetten verwijder je de backups en
met het herstarten (na verwijdering uit active deel) start
je pc clean op.
Door daarna weer system restore aan te zetten en een backup
te maken heb je een schone situatie.

Bianca,

Een goede raad is,verwijder windows xp en zet je windows ME op je pc.Ik heb
al een langere tijd ME op mijn pc.Ik heb nooit geen last meer van virussen.

groetjes Tonnie