Wie entferne ich den Trojaner TR/LADDER ( ieloader.dll ) |
||
---|---|---|
#0
| ||
19.02.2004, 13:38
Member
Beiträge: 1095 |
||
|
||
19.02.2004, 13:49
...neu hier
Beiträge: 4 |
#17
Hallo nochmal
Leider hat das auch nicht geklappt.Wäre vielleicht eine Systemwiederherstellung vone einem früheren Zeitpunkt angebracht. Liebe Grüsse Ela |
|
|
||
19.02.2004, 15:27
Moderator
Beiträge: 7805 |
#18
@paff
Das weiss ich, klick halt mal den Link und du siehst, wo du landest auch ohne ein whois! Das angebotene CAB Archiv gibt es nicht mehr. Dieses RdxIE601*.cab findest du in vielen HJT logs. @ela Also erstmal soviel. Dieser "Trojaner" ist nicht als gefaehrlich Einzustufen, wenn ich es recht in erinnerung habe, nennt Adware ihn adware igendwas. MAche dir mal die Muehe und suche in "Arbeitsplatz", mit Hilfe der Windowssuche, nach " ieloader". Du musst dabei unter weitere Optionen die ersten drei Sachen anhaken. by the way: So stellst du windows ein, das er dir alle Dateien anzeigt: 1. Starten Sie Windows Explorer. 2. Klicken Sie im Menü "Extras" auf "Ordneroptionen". 3. Klicken Sie auf die Registerkarte "Ansicht". 4. Deaktivieren Sie "Dateinamenerweiterung bei bekannten Dateitypen ausblenden". 5. Deaktivieren Sie "Geschützte Systemdateien ausblenden (empfohlen)" und klicken Sie unter "Versteckte Dateien und Ordner" auf "Alle Dateien und Ordner anzeigen". 6. Klicken Sie auf "Übernehmen" und anschließend auf "OK". __________ MfG Ralf SEO-Spam Hunter |
|
|
||
19.02.2004, 17:35
...neu hier
Beiträge: 4 |
#19
Hallo
ich bedanke mich rechgt herzlich .Ich werde deinen Rat befolgen und ich glaube das sich das Problem dann auch löst.Denn ich hatte keine Ahnung wie man versteckte Dateien sichtbar machen kann.Vielen Dank nochmal und schönen Abend noch. Ela |
|
|
||
15.05.2004, 19:26
...neu hier
Beiträge: 7 |
#20
tag,
also...habe bei jedem neustart ein trojanisches Pferd auf dem Rechner, das antivir entdeckt! Ich bin mir ziemlich sicher, das die unbekannte Datei "weather.exe" dafür verantwortlich ist, die sich auch nicht einfach deeinstallieren lässt! seid eben habe ich auch noch eine "xwrmbbbh.exe" drauf, die auf Zugang bei Zonealarm fragt! Könnt ihr mir helfen? |
|
|
||
15.05.2004, 19:32
Member
Beiträge: 1122 |
#21
1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich )
2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich ) 3,)Scanne deinen Rechner. 4.)Freuen. MFG DAFRA P.s. Wenn er dann immer noch da ist, poste mal ein Hijackthis Log. Unten steht wies geht. |
|
|
||
15.05.2004, 21:54
...neu hier
Beiträge: 7 |
#22
Also..habe Sys, widerherstellung deaktiviert, dann im abges. modus neu starten lassen und dann antivir laufen lassen!
Und keine Fehlermeldung und weather.exe is immernoch da! genau wie biosglobal ios glaube ich auch son trojaner... wasnu? Logfile of HijackThis v1.97.7 Scan saved at 21:58:24, on 15.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\WINDOWS\Mixer.exe D:\Programme\Messenger Plus! 2\MsgPlus.exe D:\Programme\ICQLite\ICQLite.exe D:\Programme\KaZaA Download Accelerator Lite\180solutions\msbb.exe D:\Programme\AVPersonal\AVGNT.EXE D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe D:\Programme\QuickTime\qttask.exe D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe D:\PROGRA~1\ACEDRI~1\biasglobal.exe D:\Programme\ClockSync\Sync.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\MSN Messenger\MsnMsgr.Exe D:\Programme\mozilla.org\Mozilla\mozilla.exe D:\Dokumente und Einstellungen\Philööööööpp\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nvinside-board.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - D:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - D:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {80E9FEBB-916A-6C9B-DADD-1EEF6D12F15C} - D:\PROGRA~1\1CITYC~1\Fourdvd.dll O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - D:\Programme\Bargain Buddy\bin\apuc.dll O2 - BHO: eXact Browser Companion - {F9765480-72D1-11D4-A75A-004F49045A87} - d:\progra~1\exact\exacttoolbar00068.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - D:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: &eXact Toolbar - {224530A0-C9CB-4AEE-9C0F-54AC1B533211} - d:\progra~1\exact\exacttoolbar00068.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe" O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [msbb] D:\Programme\KaZaA Download Accelerator Lite\180solutions\msbb.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Bags Free] D:\PROGRA~1\ACEDRI~1\biasglobal.exe O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [ClockSync] D:\Programme\ClockSync\Sync.exe /q O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/FON14006/thin.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1014041.exe O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab bitte! Dieser Beitrag wurde am 15.05.2004 um 21:58 Uhr von phil03 editiert.
|
|
|
||
16.05.2004, 19:02
Ehrenmitglied
Beiträge: 29434 |
#23
@phil03
Fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nvinside-board.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - D:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - D:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {80E9FEBB-916A-6C9B-DADD-1EEF6D12F15C} - D:\PROGRA~1\1CITYC~1\Fourdvd.dll O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - D:\Programme\Bargain Buddy\bin\apuc.dll O2 - BHO: eXact Browser Companion - {F9765480-72D1-11D4-A75A-004F49045A87} - d:\progra~1\exact\exacttoolbar00068.dll O3 - Toolbar: &eXact Toolbar - {224530A0-C9CB-4AEE-9C0F-54AC1B533211} - d:\progra~1\exact\exacttoolbar00068.dll O4 - HKLM\..\Run: [msbb] D:\Programme\KaZaA Download Accelerator Lite\180solutions\msbb.exe (durch das fixen kommt der kaaza mal kurz raus, bis zur naechsten benutzung..) O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Bags Free] D:\PROGRA~1\ACEDRI~1\biasglobal.exe O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/FON14006/thin.cab O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1014041.exe O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab neustarten 0) Search&Destroy...aktualisieren ! http://www.safer-networking.org/index.php?page=download 1) AdAware laden, updaten (aktualisieren) und scannen.(suche dir free-version) http://www.lavasoft.de/support/download/ 2)...Und von dieser Seite laedst du den CWShredder und scannst ebenfalls deinen Comp. http://www.rokop-security.de/main/article.php?sid=746&mode=thread&order=0 3)...Nun laedst du ClearProg und saeuberst deinen IE http://www.clearprog.de/ 4)..Dann stellst du unter Internet-Optionen die Startseite neu ein. 5.) laedst du als Zweitbrowser den Firefox.....ist viel sicherer und schneller. Die SicherheitsUpdates fuer den IE 6 SP1 musst du aber trotzdem immer machen. http://firebird.stw.uni-duisburg.de/windows.php 7) OnlineScann mit Pestpatrol http://www.pestscan.com/Scan.asp ---------------------------------------------------------------------- Loesche den Dialer manuell!!!!! http://deposito.hostance.net/dialer/1014041.exe ------------------------------------------------------------------------ Entfernen von Adware.Weathercast http://sarc.com/avcenter/venc/data/adware.weathercast.html # deinstaliere WeatherCast using the Add/Remove Programs . # loesche alle Dateien von Adware.Weathercast. # Loesche in der Registry: Start<Ausfuehren<regedit HKEY_CURRENT_USER\Software\WhenU\Weather HKEY_USERS\.DEFAULT\Software\WhenU\Weather ------------------------------------------------------------------------- #####Zum Schluss laedst du die mwav.exe (save to disc.....dann laden....dann die mwav.exe suchen....scannen, alles was das Tool noch anzeigt, dann manuell loeschen http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm dann poste das Log noch mal. Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.05.2004 um 19:18 Uhr von Sabina editiert.
|
|
|
||
16.05.2004, 21:39
...neu hier
Beiträge: 7 |
#24
so...habe alles gemacht!
Logfile of HijackThis v1.97.7 Scan saved at 21:39:33, on 16.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\WINDOWS\Mixer.exe D:\Programme\Messenger Plus! 2\MsgPlus.exe D:\Programme\ICQLite\ICQLite.exe D:\Programme\AVPersonal\AVGNT.EXE D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe D:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\MSN Messenger\MsnMsgr.Exe D:\Programme\Internet Explorer\IEXPLORE.EXE D:\Dokumente und Einstellungen\Philööööööpp\Desktop\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file) O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe" O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [SpyHunter] D:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKLM\..\Run: [MemScanner] D:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe O4 - HKCU\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab ist jetz alles in butter? |
|
|
||
17.05.2004, 09:56
Ehrenmitglied
Beiträge: 29434 |
#25
Phil03
Fixe bitte noch: O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file) neustarten Start<Ausfuehren<regedit suche {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} und loesche das. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.05.2004, 20:55
...neu hier
Beiträge: 7 |
#26
weather ist immer noch da!
log: Logfile of HijackThis v1.97.7 Scan saved at 20:55:02, on 24.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\WINDOWS\Mixer.exe D:\Programme\Messenger Plus! 2\MsgPlus.exe D:\Programme\ICQLite\ICQLite.exe D:\Programme\AVPersonal\AVGNT.EXE D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe D:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe D:\Programme\QuickTime\qttask.exe D:\WINDOWS\wt\updater\wcmdmgr.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\MSN Messenger\MsnMsgr.Exe D:\WINDOWS\system32\rundll32.exe D:\Dokumente und Einstellungen\Philööööööpp\Desktop\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe" O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [SpyHunter] D:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKLM\..\Run: [MemScanner] D:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe O4 - HKLM\..\Run: [wcmdmgr] D:\WINDOWS\wt\updater\wcmdmgrl.exe -launch O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} (WTHoster Class) - http://install.wildtangent.com/bgn/partners/nike/nikefz4/install.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
25.05.2004, 11:17
Ehrenmitglied
Beiträge: 29434 |
#27
Phil03
Fixe mit dem HijackThis. O4 - HKLM\..\Run: [wcmdmgr] D:\WINDOWS\wt\updater\wcmdmgrl.exe -launch das ist ploetzlich aufgetaucht.... O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} (WTHoster Class) - http://install.wildtangent.com/bgn/partners/nike/nikefz4/install.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab neustarten http://www.kaspersky.com/remoteviruschk.html WINDOWS\wt\updater\wcmdmgrl.exe -launch mit Kaspersky ueberpruefen ----------------------------------------------------------------------------------------------------------- #loesche manuell:Adware.Weathercast http://sarc.com/avcenter/venc/data/adware.weathercast.html 0. Click Start > Control Panel. In the Control Panel window, double-click Add or Remove Programs und loesche dann alles(mit Hilfe der Suchfunktion von Windows) , was mit der Adware zu tun hat. 1. Click Start, and then click Run. (The Run dialog box appears.) 2. Type regedit Then click OK. (The Registry Editor opens.) 3. Navigate to and delete the keys: HKEY_CURRENT_USER\Software\WhenU\Weather HKEY_USERS\.DEFAULT\Software\WhenU\Weather 4. Exit the Registry Editor. #Onlinescann http://www.symantec.com/region/de/avcenter/snoops.html ------------------------------------------------------------------------------------------------------------- ES GIBT VERSCHIEDENE WEATHER es kann auch das sein: http://www.pestpatrol.com/pestresearchcenter/analyses/2004-02-16_161011.asp http://www.pestpatrol.com/pestinfo/t/trueweather_download_manager.asp http://www.pestpatrol.com/Search/query.asp?qu=Weather&sc=%2F&Action=Go deshalb wuerde mich mal interessieren, was der Scann bei PestPatrol angezeigt hat. -------------------------------------------------------------------------------------------------------------- #mwav.exe (save to disc.....dann laden....dann die mwav.exe suchen....scannen, alles was das Tool noch anzeigt, dann manuell loeschen http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm Poste bitte, was das Tool als <bad< angibt. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.05.2004 um 11:36 Uhr von Sabina editiert.
|
|
|
||
26.05.2004, 19:06
...neu hier
Beiträge: 1 |
#28
Habe das hier:
Logfile of HijackThis v1.97.7 Scan saved at 19:04:43, on 26.05.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\VeriSign\NAVI\naviagent.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\Explorer.EXE C:\WINNT\htpatch.exe C:\WINNT\system32\RunDll32.exe C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE D:\Programme\QuickTime\qttask.exe D:\Programme\iOpus-AC-Plug\acplug.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Dokumente und Einstellungen\Chicken\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84" O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: 42 AC Plug.lnk = D:\Programme\iOpus-AC-Plug\acplug.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Hilfe zu i-Nav (HKLM) O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM) O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} - http://secure.aconti.net/(1b0kbszg4e5xzpzptjy2gtrj)/secureweb/secureweb.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37862.1252199074 O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3977ACFC-431D-4324-B92C-273CBA78023D}: NameServer = 217.237.151.225 194.25.2.129 was soll ich jetzt tun?? denn ich habe auch den trojaner in der ieloader.dll |
|
|
||
26.05.2004, 19:53
...neu hier
Beiträge: 7 |
#29
also der erste Link von pestpatrol findet was:
PestName Handle Identifier InternetAlert c:\program files\weberaser\tv_enua.exe WeatherCast c:\progra~1\aws\weathe~1\WB_Probutton_yellow1595.jpg WeatherCast c:\progra~1\aws\weathe~1\Lfcmp10n.dll WeatherCast c:\progra~1\aws\weathe~1\lfimg10N.dll WeatherCast c:\progra~1\aws\weathe~1\LTDIS10N.dll WeatherCast c:\progra~1\aws\weathe~1\ltfil10N.DLL WeatherCast c:\progra~1\aws\weathe~1\ltkrn10N.dll WeatherCast c:\progra~1\aws\weathe~1\Weather.exe WeatherCast c:\progra~1\aws\weathe~1\REMOVE.EXE WeatherCast c:\progra~1\aws\weathe~1\Install\MiniBug.exe WeatherCast c:\progra~1\aws\weathe~1\weather.exe 1 WeatherCast HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run|Weather|C:\PROGRA~1\AWS\WEATHE~1\WEATHER.EXE 1 Xupiter.SearchSquire searchsquire3 {907CA0E5-CE84-11D6-9508-02608CDD2846} Xupiter.SearchSquire searchsquire3 HKLM\software\microsoft\windows\currentversion\explorer\browser helper objects\{907CA0E5-CE84-11D6-9508-02608CDD2846} Xupiter.SearchSquire searchsquire3 |
|
|
||
27.05.2004, 09:26
Ehrenmitglied
Beiträge: 29434 |
#30
Phil03
Gehe in den abgesicherten Modus (F8 beim Hochfahren druecken) Alles loeschen ! (mit der Suchfunktion von Windows) tv_enua.exe WB_Probutton_yellow1595.jpg :\progra~1\aws\weathe~1\Lfcmp10n.dll WeatherCast c:\progra~1\aws\weathe~1\lfimg10N.dll WeatherCast c:\progra~1\aws\weathe~1\LTDIS10N.dll WeatherCast c:\progra~1\aws\weathe~1\ltfil10N.DLL WeatherCast c:\progra~1\aws\weathe~1\ltkrn10N.dll WeatherCast c:\progra~1\aws\weathe~1\Weather.exe WeatherCast c:\progra~1\aws\weathe~1\REMOVE.EXE WeatherCast c:\progra~1\aws\weathe~1\Install\MiniBug.exe WeatherCast c:\progra~1\aws\weathe~1\weather.exe 1 und auch in der Registry Start<Ausfuehren<regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run|Weather|C:\PROGRA~1\AWS\WEATHE~1\WEATHER.EXE 1 NEUSTARTEN und mache noch einmal den Scann mit PestPatrol. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.05.2004 um 09:27 Uhr von Sabina editiert.
|
|
|
||
bezüglich
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1393ddbe99ba6312f706/netzip/RdxIE601_de.cab
Ich habe mal nachgeschaut wohin 207.188.7.150 verweist
Das ist http://www.real.com/
Scheint also irgendwas mit dem Realplayer zu tun zu haben.
Vielleicht ein update oder ein codex?
Hast du Info's ob der "DPF" schädlich ist, bzw. für was er überhaupt da ist.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware