TR/Ladder Probleme beim entfernenThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
28.01.2004, 08:17
...neu hier
Beiträge: 6 |
||
|
||
28.01.2004, 08:19
Moderator
Beiträge: 7805 |
#2
Hast du Adaware vorher aktualisiert und tritt der Fehler auch auf, wenn du Windows im abgesicherte Modus startest und dann Adaware scannen laesst?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
28.01.2004, 08:53
...neu hier
Themenstarter Beiträge: 6 |
#3
Habe Adaware frisch aus dem Internet geladen. Fehler tritt auch im abgsicherten Modus auf.
Gruß Olchine |
|
|
||
28.01.2004, 10:59
Moderator
Beiträge: 7805 |
||
|
||
28.01.2004, 11:08
Member
Beiträge: 1095 |
#5
@Olchine
"Habe Adaware frisch aus dem Internet geladen" und dann auch upgedated? Adaware starten -> Check for Updates now __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
28.01.2004, 11:22
Member
Beiträge: 133 |
#6
beim adaware scan bitte unbedingt den virenwächter schließen,da sich beide unter umständen stören!
MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
28.01.2004, 12:30
...neu hier
Beiträge: 1 |
#7
Habe auch TR/Ladder
Wie führe ich Spyspot aus. Kann es sein das der Trojaner irgendwie meine Emails beeinflusst. Kann nicht mehr Mailen. MFG Wolfgang |
|
|
||
28.01.2004, 12:33
Moderator
Beiträge: 7805 |
#8
Sollte er eigentlich nicht, der "installiert" soweit ich weiss die Spy/Adware istbar. Poste halt ein Hijackthis log oder lade dir SpybotSD (security.kolla.de) und Adaware (www.lavasoft.de)
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
28.01.2004, 13:27
...neu hier
Themenstarter Beiträge: 6 |
#9
Hallo Raman,
hier iss er: Logfile of HijackThis v1.97.7 Scan saved at 13:20:36, on 28.01.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\HAMPANEL.EXE C:\WINDOWS\MHOTKEY.EXE C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\MESSENGER\MSMSGS.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\TEXTBRIDGE CLASSIC\BIN\TBMENU.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\NETGEAR\MA111 CONFIGURATION UTILITY\WLANCFG4.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\EGGGA1DT\HIJACKTHIS[1].EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.wwwsucking.com/main.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.wwwsucking.com/main.html F1 - win.ini: run=hpfsched O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM O4 - HKLM\..\Run: [CHotKey] mHotkey.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE" O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /service O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{90110407-6000-11D3-8CFE-0050048383C9}\misc.exe O4 - Startup: GENO lite ZV Fälligkeiten.lnk = C:\Programme\WINLIT~1\ZAWF.EXE O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Programme\TextBridge Classic\Bin\TBMenu.exe O4 - Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe O4 - Startup: MA111 Configuration Utility.lnk = C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MSOFFICE\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://player.vivo.com/ie/vvweb.cab O16 - DPF: {73D019D0-3C0B-11D2-A17C-006008662F80} (VSA Online) - https://wwws.vsa.de/svsa/vsa/svsavo260.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab Leider kann ich damit nix anfangen P.S.Virenwächter war geschlossen - aktuelles adware-Update ist drauf. Trotzdem bricht er beim Scan mit vergleichbarer Fehlermeldung ab: F0AC4F26 verursachte einen Fehler durch eine ungültige Seite in Modul KRNL386.EXE bei 0002:000042cc. Register: EAX=00000056 CS=0157 EIP=000042cc EFLGS=00000207 EBX=c1858c90 SS=488f ESP=0000bc5c EBP=0000bc68 ECX=0000ffff DS=0177 ESI=006d814c FS=2467 EDX=c1858d08 ES=0177 EDI=006e04e8 GS=0000 Bytes bei CS:EIP: 67 aa fe 46 ff e2 a4 eb 10 67 8b 04 42 86 c4 67 Stapelwerte: bc600000 006e1a1f 004f89c8 4344bc78 1a274b4f 00000001 000089c4 0a9dbcaa ffff1a1f 4b4f89c8 4b4f062a 06680624 4b4f062a 00000044 00010016 4b4f89c4 Gruß Olchine Dieser Beitrag wurde am 28.01.2004 um 13:43 Uhr von Olchine editiert.
|
|
|
||
28.01.2004, 14:09
Member
Beiträge: 133 |
#10
alles unter R1 mit hijackthis fixen lassen
MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
28.01.2004, 15:02
...neu hier
Themenstarter Beiträge: 6 |
#11
Alles unter R1 mit hijackthis gefixt.
Scan wird trotzdem mit folgender Fehlermeldung (Current Item: D:\~MSSETUP.T\~MSSTFQF.T\) abgebrochen. AE93FF0 verursachte einen Fehler durch eine ungültige Seite in Modul KRNL386.EXE bei 0002:000042cc. Register: EAX=00000056 CS=0157 EIP=000042cc EFLGS=00000207 EBX=c1858c90 SS=3627 ESP=0000bc5c EBP=0000bc68 ECX=0000ffff DS=0177 ESI=006dc54c FS=2477 EDX=c1858d08 ES=0177 EDI=006e48e8 GS=0000 Bytes bei CS:EIP: 67 aa fe 46 ff e2 a4 eb 10 67 8b 04 42 86 c4 67 Stapelwerte: bc600000 006e1a1f 004789c8 4344bc78 1a272447 00000001 000089c4 0a9dbcaa ffff1a1f 244789c8 2447062a 06680624 2447062a 00000044 00010016 244789c4 Gruß Olchine Dieser Beitrag wurde am 28.01.2004 um 15:02 Uhr von Olchine editiert.
|
|
|
||
28.01.2004, 15:16
Moderator
Beiträge: 7805 |
#12
In einen von diesen Eintraegen steckt dein trojaner. Also das bitte "fix"en
O16 - DPF: {73D019D0-3C0B-11D2-A17C-006008662F80} (VSA Online) - https://wwws.vsa.de/svsa/vsa/svsavo260.cab O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab __________ MfG Ralf SEO-Spam Hunter |
|
|
||
28.01.2004, 16:10
...neu hier
Themenstarter Beiträge: 6 |
#13
Habe die 4 Einträge gefixt. Anschließend im abgesicherten Modus mit Adware gescant. Entdeckt immer noch 36 infizierte Daten und 1 infizierten Registry bevor er den Scan mit der bereits oben beschriebenen Fehlermeldung (Current Item: D:\~MSSETUP.T\~MSSTFQF.T\) abbricht.
Hab ich mir da noch was anderes eingefangen????????? Gruß Olchine |
|
|
||
28.01.2004, 16:15
Moderator
Beiträge: 7805 |
#14
Nicht unbedingt. Du kannst das ganz einfach umgehen, indem du das verzeichniss/den Ordner D:\~MSSETUP.T einfach mit dem Explorer loeschst!
Oder du brichst den Scanvorgang mit Adaware bevor er zu dem Verzeichniss ommt einfach ab __________ MfG Ralf SEO-Spam Hunter |
|
|
||
28.01.2004, 18:03
...neu hier
Themenstarter Beiträge: 6 |
#15
Hallo Raman,
Danke für den Tipp - auf die naheliegendsten Dinge kommt man manchmal nicht. Also mein Scan mit Adware läuft nun durch und zeigt keine infizierten Daten mehr an. Hoffentlich bin ich TR/Ladder jetzt los... Was stellt TR/Ladder eigentlich genau auf meinem PC an? Hast du da eine konkrete Auskunft parat? Also hab schon mal vielen Dank für deine Mühe Gruß Olchine Dieser Beitrag wurde am 28.01.2004 um 18:04 Uhr von Olchine editiert.
|
|
|
||
habe mir TR/Ladder eingefangen. Mit Antivir entdeckt und gelöscht. Dann hab ich hier im Forum gelesen, dass das nicht alles war. Deshalb hab ich Spyspot ausgführt und reinigen lassen. Beim anschließenden Scan mit Adaware findet er infizierte Dateien und Registry und bricht den Scan mit folgender Fehlermeldung ab:
78D1614 verursachte einen Fehler durch eine ungültige Seite
in Modul KRNL386.EXE bei 0002:000042cc.
Register:
EAX=00000056 CS=0157 EIP=000042cc EFLGS=00000207
EBX=c1858c90 SS=41bf ESP=0000bc5c EBP=0000bc68
ECX=0000ffff DS=0177 ESI=006dba04 FS=1cbf
EDX=c1858d08 ES=0177 EDI=006e3da0 GS=0000
Bytes bei CS:EIP:
67 aa fe 46 ff e2 a4 eb 10 67 8b 04 42 86 c4 67
Stapelwerte:
bc600000 006e1a1f 001789c8 4344bc78 1a274317 00000001 000089c4 0a9dbcaa ffff1a1f 431789c8 4317062a 06680624 4317062a 00000044 00010016 431789c4
Was nun? Weiß jemand Rat?
Danke Olchine