Wie entferne ich den Trojaner TR/LADDER ( ieloader.dll )

#0
19.02.2004, 13:38
Member

Beiträge: 1095
#16 @raman
bezüglich
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1393ddbe99ba6312f706/netzip/RdxIE601_de.cab
Ich habe mal nachgeschaut wohin 207.188.7.150 verweist
Das ist http://www.real.com/
Scheint also irgendwas mit dem Realplayer zu tun zu haben.
Vielleicht ein update oder ein codex?

Hast du Info's ob der "DPF" schädlich ist, bzw. für was er überhaupt da ist. ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 19.02.2004 um 13:41 Uhr von paff editiert.
Seitenanfang Seitenende
19.02.2004, 13:49
...neu hier

Beiträge: 4
#17 Hallo nochmal
Leider hat das auch nicht geklappt.Wäre vielleicht eine Systemwiederherstellung vone einem früheren Zeitpunkt angebracht.

Liebe Grüsse Ela
Seitenanfang Seitenende
19.02.2004, 15:27
Moderator

Beiträge: 7805
#18 @paff
Das weiss ich, klick halt mal den Link und du siehst, wo du landest auch ohne ein whois!;)
Das angebotene CAB Archiv gibt es nicht mehr. Dieses RdxIE601*.cab findest du in vielen HJT logs.

@ela Also erstmal soviel. Dieser "Trojaner" ist nicht als gefaehrlich Einzustufen, wenn ich es recht in erinnerung habe, nennt Adware ihn adware igendwas.
MAche dir mal die Muehe und suche in "Arbeitsplatz", mit Hilfe der Windowssuche, nach " ieloader". Du musst dabei unter weitere Optionen die ersten drei Sachen anhaken.

by the way: So stellst du windows ein, das er dir alle Dateien anzeigt:
1. Starten Sie Windows Explorer.
2. Klicken Sie im Menü "Extras" auf "Ordneroptionen".
3. Klicken Sie auf die Registerkarte "Ansicht".
4. Deaktivieren Sie "Dateinamenerweiterung bei bekannten Dateitypen ausblenden".
5. Deaktivieren Sie "Geschützte Systemdateien ausblenden (empfohlen)" und klicken Sie unter "Versteckte Dateien und Ordner" auf "Alle Dateien und Ordner anzeigen".
6. Klicken Sie auf "Übernehmen" und anschließend auf "OK".
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.02.2004, 17:35
...neu hier

Beiträge: 4
#19 Hallo
ich bedanke mich rechgt herzlich .Ich werde deinen Rat befolgen und ich glaube das sich das Problem dann auch löst.Denn ich hatte keine Ahnung wie man versteckte Dateien sichtbar machen kann.Vielen Dank nochmal und schönen Abend noch.
Ela
Seitenanfang Seitenende
15.05.2004, 19:26
...neu hier

Beiträge: 7
#20 tag,

also...habe bei jedem neustart ein trojanisches Pferd auf dem Rechner, das antivir entdeckt! Ich bin mir ziemlich sicher, das die unbekannte Datei "weather.exe" dafür verantwortlich ist, die sich auch nicht einfach deeinstallieren lässt!

seid eben habe ich auch noch eine "xwrmbbbh.exe" drauf, die auf Zugang bei Zonealarm fragt!

Könnt ihr mir helfen?
Seitenanfang Seitenende
15.05.2004, 19:32
Member
Avatar Dafra

Beiträge: 1122
#21 1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich )
2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich )
3,)Scanne deinen Rechner.
4.)Freuen.

MFG
DAFRA


P.s.
Wenn er dann immer noch da ist, poste mal ein Hijackthis Log.
Unten steht wies geht.
Seitenanfang Seitenende
15.05.2004, 21:54
...neu hier

Beiträge: 7
#22 Also..habe Sys, widerherstellung deaktiviert, dann im abges. modus neu starten lassen und dann antivir laufen lassen!
Und keine Fehlermeldung und weather.exe is immernoch da!
genau wie biosglobal ios glaube ich auch son trojaner... wasnu?

Logfile of HijackThis v1.97.7
Scan saved at 21:58:24, on 15.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Mixer.exe
D:\Programme\Messenger Plus! 2\MsgPlus.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\KaZaA Download Accelerator Lite\180solutions\msbb.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\PROGRA~1\ACEDRI~1\biasglobal.exe
D:\Programme\ClockSync\Sync.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\mozilla.org\Mozilla\mozilla.exe
D:\Dokumente und Einstellungen\Philööööööpp\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nvinside-board.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - D:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - D:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {80E9FEBB-916A-6C9B-DADD-1EEF6D12F15C} - D:\PROGRA~1\1CITYC~1\Fourdvd.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - D:\Programme\Bargain Buddy\bin\apuc.dll
O2 - BHO: eXact Browser Companion - {F9765480-72D1-11D4-A75A-004F49045A87} - d:\progra~1\exact\exacttoolbar00068.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - D:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &eXact Toolbar - {224530A0-C9CB-4AEE-9C0F-54AC1B533211} - d:\progra~1\exact\exacttoolbar00068.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [msbb] D:\Programme\KaZaA Download Accelerator Lite\180solutions\msbb.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Bags Free] D:\PROGRA~1\ACEDRI~1\biasglobal.exe
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ClockSync] D:\Programme\ClockSync\Sync.exe /q
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/FON14006/thin.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1014041.exe
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

bitte!
Dieser Beitrag wurde am 15.05.2004 um 21:58 Uhr von phil03 editiert.
Seitenanfang Seitenende
16.05.2004, 19:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 @phil03

Fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nvinside-board.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - D:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - D:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: (no name) - {80E9FEBB-916A-6C9B-DADD-1EEF6D12F15C} - D:\PROGRA~1\1CITYC~1\Fourdvd.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - D:\Programme\Bargain Buddy\bin\apuc.dll
O2 - BHO: eXact Browser Companion - {F9765480-72D1-11D4-A75A-004F49045A87} - d:\progra~1\exact\exacttoolbar00068.dll
O3 - Toolbar: &eXact Toolbar - {224530A0-C9CB-4AEE-9C0F-54AC1B533211} - d:\progra~1\exact\exacttoolbar00068.dll

O4 - HKLM\..\Run: [msbb] D:\Programme\KaZaA Download Accelerator Lite\180solutions\msbb.exe
(durch das fixen kommt der kaaza mal kurz raus, bis zur naechsten benutzung..)

O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Bags Free] D:\PROGRA~1\ACEDRI~1\biasglobal.exe

O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/FON14006/thin.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1014041.exe
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab


neustarten



0) Search&Destroy...aktualisieren !
http://www.safer-networking.org/index.php?page=download
1) AdAware laden, updaten (aktualisieren) und scannen.(suche dir free-version)
http://www.lavasoft.de/support/download/
2)...Und von dieser Seite laedst du den CWShredder und scannst ebenfalls deinen Comp.
http://www.rokop-security.de/main/article.php?sid=746&mode=thread&order=0
3)...Nun laedst du ClearProg und saeuberst deinen IE
http://www.clearprog.de/

4)..Dann stellst du unter Internet-Optionen die Startseite neu ein.

5.) laedst du als Zweitbrowser den Firefox.....ist viel sicherer und schneller.
Die SicherheitsUpdates fuer den IE 6 SP1 musst du aber trotzdem immer machen.
http://firebird.stw.uni-duisburg.de/windows.php
7) OnlineScann mit Pestpatrol
http://www.pestscan.com/Scan.asp
----------------------------------------------------------------------

Loesche den Dialer manuell!!!!!
http://deposito.hostance.net/dialer/1014041.exe
------------------------------------------------------------------------

Entfernen von Adware.Weathercast
http://sarc.com/avcenter/venc/data/adware.weathercast.html

# deinstaliere WeatherCast using the Add/Remove Programs .
# loesche alle Dateien von Adware.Weathercast.
# Loesche in der Registry:
Start<Ausfuehren<regedit

HKEY_CURRENT_USER\Software\WhenU\Weather
HKEY_USERS\.DEFAULT\Software\WhenU\Weather

-------------------------------------------------------------------------

#####Zum Schluss laedst du die mwav.exe
(save to disc.....dann laden....dann die mwav.exe suchen....scannen, alles was das Tool noch anzeigt, dann manuell loeschen
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm

dann poste das Log noch mal.
;)
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.05.2004 um 19:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.05.2004, 21:39
...neu hier

Beiträge: 7
#24 so...habe alles gemacht!

Logfile of HijackThis v1.97.7
Scan saved at 21:39:33, on 16.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Mixer.exe
D:\Programme\Messenger Plus! 2\MsgPlus.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Dokumente und Einstellungen\Philööööööpp\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SpyHunter] D:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [MemScanner] D:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe
O4 - HKCU\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

ist jetz alles in butter?
Seitenanfang Seitenende
17.05.2004, 09:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 Phil03

Fixe bitte noch:

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)

neustarten

Start<Ausfuehren<regedit
suche {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} und loesche das.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.05.2004, 20:55
...neu hier

Beiträge: 7
#26 weather ist immer noch da!

log:
Logfile of HijackThis v1.97.7
Scan saved at 20:55:02, on 24.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Mixer.exe
D:\Programme\Messenger Plus! 2\MsgPlus.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\wt\updater\wcmdmgr.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\MSN Messenger\MsnMsgr.Exe
D:\WINDOWS\system32\rundll32.exe
D:\Dokumente und Einstellungen\Philööööööpp\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SpyHunter] D:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [MemScanner] D:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe
O4 - HKLM\..\Run: [wcmdmgr] D:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} (WTHoster Class) - http://install.wildtangent.com/bgn/partners/nike/nikefz4/install.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
25.05.2004, 11:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 Phil03

Fixe mit dem HijackThis.

O4 - HKLM\..\Run: [wcmdmgr] D:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
das ist ploetzlich aufgetaucht....

O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} (WTHoster Class) - http://install.wildtangent.com/bgn/partners/nike/nikefz4/install.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab

neustarten

http://www.kaspersky.com/remoteviruschk.html
WINDOWS\wt\updater\wcmdmgrl.exe -launch mit Kaspersky ueberpruefen

-----------------------------------------------------------------------------------------------------------

#loesche manuell:Adware.Weathercast
http://sarc.com/avcenter/venc/data/adware.weathercast.html

0. Click Start > Control Panel. In the Control Panel window, double-click Add or Remove Programs und loesche dann alles(mit Hilfe der Suchfunktion von Windows) , was mit der Adware zu tun hat.

1. Click Start, and then click Run. (The Run dialog box appears.)
2. Type regedit

Then click OK. (The Registry Editor opens.)

3. Navigate to and delete the keys:

HKEY_CURRENT_USER\Software\WhenU\Weather

HKEY_USERS\.DEFAULT\Software\WhenU\Weather

4. Exit the Registry Editor.
#Onlinescann
http://www.symantec.com/region/de/avcenter/snoops.html
-------------------------------------------------------------------------------------------------------------

ES GIBT VERSCHIEDENE WEATHER
es kann auch das sein:
http://www.pestpatrol.com/pestresearchcenter/analyses/2004-02-16_161011.asp
http://www.pestpatrol.com/pestinfo/t/trueweather_download_manager.asp
http://www.pestpatrol.com/Search/query.asp?qu=Weather&sc=%2F&Action=Go

deshalb wuerde mich mal interessieren, was der Scann bei PestPatrol angezeigt hat.

--------------------------------------------------------------------------------------------------------------
#mwav.exe
(save to disc.....dann laden....dann die mwav.exe suchen....scannen, alles was das Tool noch anzeigt, dann manuell loeschen
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm

Poste bitte, was das Tool als <bad< angibt.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.05.2004 um 11:36 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.05.2004, 19:06
...neu hier

Beiträge: 1
#28 Habe das hier:

Logfile of HijackThis v1.97.7
Scan saved at 19:04:43, on 26.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\htpatch.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
D:\Programme\QuickTime\qttask.exe
D:\Programme\iOpus-AC-Plug\acplug.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Chicken\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: 42 AC Plug.lnk = D:\Programme\iOpus-AC-Plug\acplug.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} - http://secure.aconti.net/(1b0kbszg4e5xzpzptjy2gtrj)/secureweb/secureweb.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37862.1252199074
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3977ACFC-431D-4324-B92C-273CBA78023D}: NameServer = 217.237.151.225 194.25.2.129


was soll ich jetzt tun?? denn ich habe auch den trojaner in der ieloader.dll
Seitenanfang Seitenende
26.05.2004, 19:53
...neu hier

Beiträge: 7
#29 also der erste Link von pestpatrol findet was:
PestName Handle Identifier
InternetAlert
c:\program files\weberaser\tv_enua.exe
WeatherCast
c:\progra~1\aws\weathe~1\WB_Probutton_yellow1595.jpg
WeatherCast
c:\progra~1\aws\weathe~1\Lfcmp10n.dll
WeatherCast
c:\progra~1\aws\weathe~1\lfimg10N.dll
WeatherCast
c:\progra~1\aws\weathe~1\LTDIS10N.dll
WeatherCast
c:\progra~1\aws\weathe~1\ltfil10N.DLL
WeatherCast
c:\progra~1\aws\weathe~1\ltkrn10N.dll
WeatherCast
c:\progra~1\aws\weathe~1\Weather.exe
WeatherCast
c:\progra~1\aws\weathe~1\REMOVE.EXE
WeatherCast
c:\progra~1\aws\weathe~1\Install\MiniBug.exe
WeatherCast
c:\progra~1\aws\weathe~1\weather.exe 1
WeatherCast
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run|Weather|C:\PROGRA~1\AWS\WEATHE~1\WEATHER.EXE 1
Xupiter.SearchSquire searchsquire3 {907CA0E5-CE84-11D6-9508-02608CDD2846}
Xupiter.SearchSquire searchsquire3 HKLM\software\microsoft\windows\currentversion\explorer\browser helper objects\{907CA0E5-CE84-11D6-9508-02608CDD2846}
Xupiter.SearchSquire searchsquire3
Seitenanfang Seitenende
27.05.2004, 09:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 Phil03

Gehe in den abgesicherten Modus
(F8 beim Hochfahren druecken)


Alles loeschen !

(mit der Suchfunktion von Windows)

tv_enua.exe
WB_Probutton_yellow1595.jpg
:\progra~1\aws\weathe~1\Lfcmp10n.dll
WeatherCast
c:\progra~1\aws\weathe~1\lfimg10N.dll
WeatherCast
c:\progra~1\aws\weathe~1\LTDIS10N.dll
WeatherCast
c:\progra~1\aws\weathe~1\ltfil10N.DLL
WeatherCast
c:\progra~1\aws\weathe~1\ltkrn10N.dll
WeatherCast
c:\progra~1\aws\weathe~1\Weather.exe
WeatherCast
c:\progra~1\aws\weathe~1\REMOVE.EXE
WeatherCast
c:\progra~1\aws\weathe~1\Install\MiniBug.exe
WeatherCast
c:\progra~1\aws\weathe~1\weather.exe 1

und auch in der Registry
Start<Ausfuehren<regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run|Weather|C:\PROGRA~1\AWS\WEATHE~1\WEATHER.EXE 1

NEUSTARTEN
und mache noch einmal den Scann mit PestPatrol.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.05.2004 um 09:27 Uhr von Sabina editiert.
Seitenanfang Seitenende