wie werde ich "trojandownloader.win32ladder" los?

#1 Hallo!
Mein Viren-Killer (F-secure) hat foolgenden Virus entdeckt:
trojan Downloader.win32ladder
C:\windows\download programm files\ieloader.dll
gefunden, konnte ihn aber nicht deinfizieren-wurde nur umbenannt.
Reicht das umn ihn los zu werde, oder muß ich noch was tun?
Sollte vielleicht erwähnen, dass ich nicht unbedingt ein Genie am PC bin.
Bitte um verständliche Hilfe-Danke im Voraus!

#2 Da muss noch mehr sein. Das ist nur ein Teil eines Hijackers( wenn ich das noch richtig im Kopf habe) Lasse mal Adaware und Spybot nach dem Rest suchen.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo raman!
Vorerst vielen Dank, dass du mir helfen möchtest. Wie gaseagt bin ich jedoch ein ziemlicher Laie. Was ist adawarte bzw. spybot und wie lasse ich sie suchen?

liebe grüsse
joe

#4 Siehe PM. Ansonsten poste ein Hijackthis log: www.hjt.klaffke.de
__________
MfG Ralf
SEO-Spam Hunter

#5 Hoffe, ich habe das richtig gemacht. Schau bitte mal was rausgekommen ist:



Logfile of HijackThis v1.97.7
Scan saved at 21:52:49, on 09.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\BPM Studio Pro 4.2\WinZip\WZQKPICK.EXE
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Programme\MediaKey\OSD.EXE
C:\Programme\MediaKey\Versato.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\BPMSTU~1.2\WINZIP\winzip32.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.comtrade.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hotbar.com/dyn/hotbar/3.0/sb_searchPageHome.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [System Tray] C:\Dokumente und Einstellungen\Neumann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MJ51FRK4\doc_details.pif
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Versato] C:\Programme\MediaKey\MagicRun.exe
O4 - HKCU\..\Run: [System Tray] C:\Dokumente und Einstellungen\Neumann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MJ51FRK4\doc_details.pif
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\BPM Studio Pro 4.2\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.comtrade.net
O16 - DPF: HOBLink J-Term - http://localhost:8888/grawehost/www/lib/JLaunchDU.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {3A5A2021-0895-11D2-8817-0060089E0724} (GlobalEnglish Learning Technology) - http://www.globalenglish.com/html/setup/cabs/ge.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/13531f966a2aca2fc405/netzip/RdxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{07537787-57A0-40D9-9960-571BBFEB91F4}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{90922990-EF48-46E2-BCA8-0B4381462573}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{07537787-57A0-40D9-9960-571BBFEB91F4}: NameServer = 195.3.96.67 195.3.96.68


Ich harre deiner Antwort!

#6 Lasse diese Eintraege fixen( anhaken und "fix checked" druecken)
:
O16 - DPF: HOBLink J-Term - http://localhost:8888/grawehost/www/lib/JLaunchDU.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O4 - HKCU\..\Run: [System Tray] C:\Dokumente und Einstellungen\Neumann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MJ51FRK4\doc_details.pif
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - HKLM\..\Run: [System Tray] C:\Dokumente und Einstellungen\Neumann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MJ51FRK4\doc_details.pif
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

Bitte Windows neu starten und diese Datei an virus@protecus.de oder an die in meinem Profil schicken:
C:\Dokumente und Einstellungen\Neumann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MJ51FRK4\doc_details.pif

danach bitte alles in diesem Ordner loeschen: C:\Dokumente und Einstellungen\Neumann\Lokale Einstellungen\Temporary Internet Files\Content.IE5
__________
MfG Ralf
SEO-Spam Hunter

#7 So- jetzt haben wir das nächste Problem: Ich habe die o.a. 6Dateien gefixt und anschließend den PC gebootet. Ich kann aber díe von dir gewünschte Datei
(C:\Dokumente und Einstellungen\Neumann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MJ51FRK4\doc_details.pif)
nicht finden. Der Pfad geht nur bis
C:\Dokumente und Einstellungen\Neumann\

Bitte hilf mir weiter!

#8 Das kommt daher, das diese Order versteckt sind du muss im explorer erst folgendes "anhaken":
Menüpunkt:
Extras
Unterpunkt:
Ordneroptionen
Eintrag:
[ ] Erweiterung bei bekannten Dateitypen ausblenden
ergänzend (hilft manchmal auch noch weiter)
[ ] Geschützte Systemdateien ausblenden
( ) Alle Dateien und Ordner anzeigenMenüpunkt:
Extras
Unterpunkt:
Ordneroptionen
Eintrag:
[ ] Erweiterung bei bekannten Dateitypen ausblenden
ergänzend (hilft manchmal auch noch weiter)
[ ] Geschützte Systemdateien ausblenden
( ) Alle Dateien und Ordner anzeigen
__________
MfG Ralf
SEO-Spam Hunter

#9 Hi raman!

Ich habe nun die 3 Dinge im Explorer angehakt, komme jetzt zwar schon bis:

(C:\Dokumente und Einstellungen\Neumann\Lokale Einstellungen\Temporary Internet Files

Content.IE5\.... kann ich aber immer noch nicht finden.
Was könnte ich noch machen? Vielen Dank im Voraus!
mfg
Joe3347

#10 Dann reicht es einfach die Eintraeg, die ich oben angegeben habe zu loeschen. Die Dateien wurden dann wahrscheinlich irgendwann schon einmal geloescht.
__________
MfG Ralf
SEO-Spam Hunter

#11 Würde ich gerne-aber der Pfad endet bei:
\Temporary Internet Files

Die Erweiterung: content.IE5 gibt es nicht. Muß ich vielleicht irgendwo anders suchen?

mfg
Joe3347

#12 Du kannst diese Dateien auch mit Hilfe des IE selber loeschen.

Unter Extras/Internetoptionen/allgemein gibt es die Option "Dateien loeschen" "Alle Offlineinhalte loeschen" hakst du ebenfalls an und bestaetigst es. Das sollte reichen.
__________
MfG Ralf
SEO-Spam Hunter

#13 Habe ich gemacht! Ist mein PC jetzt wieder sauber? Und könntest du mir bitte noch sagen, was der Virus anstellen hätte können und noch kann (Telebanking, Kontonummern...). und nochmals vielen, vielen Dank für alles!!!


mfg
joe347


P.S.: Ab nun ist Raman ein Synonym für PC-Genie!!!!!!!!!!

#14 Keine Ahnung, ob das ueberhaupt ein Virus war, denn ich habe die Datei ja nicht gesehen.... Aber wenn du das alles gemacht hast, sollte dein Rechner nun wieder "sauber" sein.
__________
MfG Ralf
SEO-Spam Hunter

#15 Nochmals vielen Dank für deine Bemühungen und ein schönes Wochenende!


liebe grüße aus Österreich
joe!