Wie entferne ich den Trojaner TR/LADDER ( ieloader.dll )

#0
27.05.2004, 09:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 @djs

1)Lade den CWHredder und Sphjfix .exe und den AdAware (free)...updaten
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Lade e-scann (mwav.exe)
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm
----------------------------------------------------------------------------
Dann gehe in den abgesicherten Modus (F8 beim Hochfahren druecken)scann und fixe mit dem HijackThis:

O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F}

O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} - http://secure.aconti.net/(1b0kbszg4e5xzpzptjy2gtrj)/secureweb/secureweb.cab
----------------------------------------------------------------------------------
2.mit AdAware scannen, Cwshredder, und Spjfix.exe und mwav.exe
3. Normal neustarten.
4. Loesche unter InternetOptionen die TemporaryInternetFiles
und stelle die Startseite nach Wunsch ein

Lade den Firefox (ist Hijackerfrei)
http://firebird.stw.uni-duisburg.de/windows.php

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 29.05.2004 um 22:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.05.2004, 21:46
...neu hier

Beiträge: 7
#32 in der registry habe ich den weather komischerweiser ja net drinne!
Seitenanfang Seitenende
29.05.2004, 22:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33

Zitat

phil03 postete
in der registry habe ich den weather komischerweiser ja net drinne!
Wahrscheinlich ist dein Log jetzt sauber.
Poste es noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.05.2004, 17:37
...neu hier

Beiträge: 7
#34 und mein windows search findet die infizierten dateien netmahl!

was kann ich nur machen?
Dieser Beitrag wurde am 03.06.2004 um 21:34 Uhr von phil03 editiert.
Seitenanfang Seitenende
08.12.2004, 15:01
Member

Beiträge: 17
#35 Hallo, hoffe mein Fall passt hier hin.
Mein Virenscanner (BitDefender) sagt folgendes:

Zusammenfassung:
C:\Dokumente und Einstellungen\Johanna Battenberg\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KH2RCP6J\ieloader[1].cab=>IELoader.dll Infiziert Application.Dialer.Freeload
C:\Dokumente und Einstellungen\Johanna Battenberg\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KH2RCP6J\ieloader[1].cab=>IELoader.dll Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\Johanna Battenberg\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KH2RCP6J\ieloader[1].cab=>IELoader.dll Verschieben fehlgeschlagen

Wenn ich alle Dateien im Temporary Internet Files - Ordner lösche, macht er dennoch die gleich Meldung.

Kann mir jemand helfen?
Achtung, ich bin kein Profi (Hab mir die letzten einträge durchgelesen und bin ein bissi verwirrt).

DANKE!
Seitenanfang Seitenende
08.12.2004, 16:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#36 Hallo@togu

-->Löschen/mit der Killbox:
http://www.bleepingcomputer.com/files/killbox.php

geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "yes"

C:\Windows\System32\IELoader.dll

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.12.2004 um 16:05 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.12.2004, 17:08
Member

Beiträge: 17
#37 Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 17:05:47, on 08.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\Optmouse.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Microsoft Firewall Client\ISATRAY.EXE
C:\Programme\TVFM\QuickTV.exe
C:\Programme\OpenOffice\program\soffice.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Johanna Battenberg\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.201.104.104:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [OPTMOUSEMOUSE] C:\WINDOWS\System32\Optmouse.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: HMLosung.lnk = C:\Programme\HMLosung\HMLosung.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Firewall Client Connectivity Monitor.LNK = C:\Programme\Microsoft Firewall Client\ISATRAY.EXE
O4 - Global Startup: QuickTV.lnk = C:\Programme\TVFM\QuickTV.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/stop-sign_stp.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20031216/qtinstall.info.apple.com/mickey/us/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35120C7A-0DFD-4755-8CC1-18986679D090}: NameServer = 141.201.1.10,141.201.1.16
O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySql - Unknown - C:/apache/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: PHPGeekUtil - Unknown - c:\apache\APACHE.EXE (file missing)
O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe



Hoffe das passt so...
Vielen Dank!!
Seitenanfang Seitenende
08.12.2004, 21:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 Hallo@togu

Es ist alles o.k. ;)

zur Sicherheit kannst du das hier noch abarbeiten:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.12.2004 um 21:34 Uhr von Sabina editiert.
Seitenanfang Seitenende
11.12.2004, 09:44
Member

Beiträge: 17
#39 Vielen Dank noch mal Sabina!
Find ich echt toll dass es euch gibt! :-)

togu
Seitenanfang Seitenende