TR/Ladder Probleme beim entfernen

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.01.2004, 08:17
...neu hier

Beiträge: 6
#1 Hallo,

habe mir TR/Ladder eingefangen. Mit Antivir entdeckt und gelöscht. Dann hab ich hier im Forum gelesen, dass das nicht alles war. Deshalb hab ich Spyspot ausgführt und reinigen lassen. Beim anschließenden Scan mit Adaware findet er infizierte Dateien und Registry und bricht den Scan mit folgender Fehlermeldung ab:

78D1614 verursachte einen Fehler durch eine ungültige Seite
in Modul KRNL386.EXE bei 0002:000042cc.
Register:
EAX=00000056 CS=0157 EIP=000042cc EFLGS=00000207
EBX=c1858c90 SS=41bf ESP=0000bc5c EBP=0000bc68
ECX=0000ffff DS=0177 ESI=006dba04 FS=1cbf
EDX=c1858d08 ES=0177 EDI=006e3da0 GS=0000
Bytes bei CS:EIP:
67 aa fe 46 ff e2 a4 eb 10 67 8b 04 42 86 c4 67
Stapelwerte:
bc600000 006e1a1f 001789c8 4344bc78 1a274317 00000001 000089c4 0a9dbcaa ffff1a1f 431789c8 4317062a 06680624 4317062a 00000044 00010016 431789c4

Was nun? Weiß jemand Rat?

Danke Olchine
Seitenanfang Seitenende
28.01.2004, 08:19
Moderator

Beiträge: 7805
#2 Hast du Adaware vorher aktualisiert und tritt der Fehler auch auf, wenn du Windows im abgesicherte Modus startest und dann Adaware scannen laesst?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.01.2004, 08:53
...neu hier

Themenstarter

Beiträge: 6
#3 Habe Adaware frisch aus dem Internet geladen. Fehler tritt auch im abgsicherten Modus auf.

Gruß Olchine
Seitenanfang Seitenende
28.01.2004, 10:59
Moderator

Beiträge: 7805
#4 Dann poste mal ein Hijackthis log
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.01.2004, 11:08
Member

Beiträge: 1095
#5 @Olchine
"Habe Adaware frisch aus dem Internet geladen"
und dann auch upgedated?
Adaware starten -> Check for Updates now
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
28.01.2004, 11:22
Member

Beiträge: 133
#6 beim adaware scan bitte unbedingt den virenwächter schließen,da sich beide unter umständen stören!

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
28.01.2004, 12:30
...neu hier

Beiträge: 1
#7 Habe auch TR/Ladder
Wie führe ich Spyspot aus.
Kann es sein das der Trojaner irgendwie meine Emails beeinflusst. Kann nicht mehr Mailen.
MFG Wolfgang
Seitenanfang Seitenende
28.01.2004, 12:33
Moderator

Beiträge: 7805
#8 Sollte er eigentlich nicht, der "installiert" soweit ich weiss die Spy/Adware istbar. Poste halt ein Hijackthis log oder lade dir SpybotSD (security.kolla.de) und Adaware (www.lavasoft.de)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.01.2004, 13:27
...neu hier

Themenstarter

Beiträge: 6
#9 Hallo Raman,

hier iss er:
Logfile of HijackThis v1.97.7
Scan saved at 13:20:36, on 28.01.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\MESSENGER\MSMSGS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\TEXTBRIDGE CLASSIC\BIN\TBMENU.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\NETGEAR\MA111 CONFIGURATION UTILITY\WLANCFG4.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\EGGGA1DT\HIJACKTHIS[1].EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.wwwsucking.com/main.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.wwwsucking.com/main.html
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /service
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{90110407-6000-11D3-8CFE-0050048383C9}\misc.exe
O4 - Startup: GENO lite ZV Fälligkeiten.lnk = C:\Programme\WINLIT~1\ZAWF.EXE
O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Programme\TextBridge Classic\Bin\TBMenu.exe
O4 - Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe
O4 - Startup: MA111 Configuration Utility.lnk = C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MSOFFICE\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://player.vivo.com/ie/vvweb.cab
O16 - DPF: {73D019D0-3C0B-11D2-A17C-006008662F80} (VSA Online) - https://wwws.vsa.de/svsa/vsa/svsavo260.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab

Leider kann ich damit nix anfangen

P.S.Virenwächter war geschlossen - aktuelles adware-Update ist drauf.
Trotzdem bricht er beim Scan mit vergleichbarer Fehlermeldung ab:

F0AC4F26 verursachte einen Fehler durch eine ungültige Seite
in Modul KRNL386.EXE bei 0002:000042cc.
Register:
EAX=00000056 CS=0157 EIP=000042cc EFLGS=00000207
EBX=c1858c90 SS=488f ESP=0000bc5c EBP=0000bc68
ECX=0000ffff DS=0177 ESI=006d814c FS=2467
EDX=c1858d08 ES=0177 EDI=006e04e8 GS=0000
Bytes bei CS:EIP:
67 aa fe 46 ff e2 a4 eb 10 67 8b 04 42 86 c4 67
Stapelwerte:
bc600000 006e1a1f 004f89c8 4344bc78 1a274b4f 00000001 000089c4 0a9dbcaa ffff1a1f 4b4f89c8 4b4f062a 06680624 4b4f062a 00000044 00010016 4b4f89c4

Gruß Olchine
Dieser Beitrag wurde am 28.01.2004 um 13:43 Uhr von Olchine editiert.
Seitenanfang Seitenende
28.01.2004, 14:09
Member

Beiträge: 133
#10 alles unter R1 mit hijackthis fixen lassen

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
28.01.2004, 15:02
...neu hier

Themenstarter

Beiträge: 6
#11 Alles unter R1 mit hijackthis gefixt.
Scan wird trotzdem mit folgender Fehlermeldung (Current Item: D:\~MSSETUP.T\~MSSTFQF.T\) abgebrochen.

AE93FF0 verursachte einen Fehler durch eine ungültige Seite
in Modul KRNL386.EXE bei 0002:000042cc.
Register:
EAX=00000056 CS=0157 EIP=000042cc EFLGS=00000207
EBX=c1858c90 SS=3627 ESP=0000bc5c EBP=0000bc68
ECX=0000ffff DS=0177 ESI=006dc54c FS=2477
EDX=c1858d08 ES=0177 EDI=006e48e8 GS=0000
Bytes bei CS:EIP:
67 aa fe 46 ff e2 a4 eb 10 67 8b 04 42 86 c4 67
Stapelwerte:
bc600000 006e1a1f 004789c8 4344bc78 1a272447 00000001 000089c4 0a9dbcaa ffff1a1f 244789c8 2447062a 06680624 2447062a 00000044 00010016 244789c4

Gruß Olchine
Dieser Beitrag wurde am 28.01.2004 um 15:02 Uhr von Olchine editiert.
Seitenanfang Seitenende
28.01.2004, 15:16
Moderator

Beiträge: 7805
#12 In einen von diesen Eintraegen steckt dein trojaner. Also das bitte "fix"en

O16 - DPF: {73D019D0-3C0B-11D2-A17C-006008662F80} (VSA Online) - https://wwws.vsa.de/svsa/vsa/svsavo260.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.01.2004, 16:10
...neu hier

Themenstarter

Beiträge: 6
#13 Habe die 4 Einträge gefixt. Anschließend im abgesicherten Modus mit Adware gescant. Entdeckt immer noch 36 infizierte Daten und 1 infizierten Registry bevor er den Scan mit der bereits oben beschriebenen Fehlermeldung (Current Item: D:\~MSSETUP.T\~MSSTFQF.T\) abbricht.
Hab ich mir da noch was anderes eingefangen?????????

Gruß Olchine
Seitenanfang Seitenende
28.01.2004, 16:15
Moderator

Beiträge: 7805
#14 Nicht unbedingt. Du kannst das ganz einfach umgehen, indem du das verzeichniss/den Ordner D:\~MSSETUP.T einfach mit dem Explorer loeschst!;)

Oder du brichst den Scanvorgang mit Adaware bevor er zu dem Verzeichniss ommt einfach ab
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.01.2004, 18:03
...neu hier

Themenstarter

Beiträge: 6
#15 Hallo Raman,

Danke für den Tipp - auf die naheliegendsten Dinge kommt man manchmal nicht. Also mein Scan mit Adware läuft nun durch und zeigt keine infizierten Daten mehr an. Hoffentlich bin ich TR/Ladder jetzt los...
Was stellt TR/Ladder eigentlich genau auf meinem PC an? Hast du da eine konkrete Auskunft parat?

Also hab schon mal vielen Dank für deine Mühe

Gruß Olchine
Dieser Beitrag wurde am 28.01.2004 um 18:04 Uhr von Olchine editiert.
Seitenanfang Seitenende