ied.exe Hilfe

Addy Buschu · 11.03.2005, 16:52

:\
ied_s7m.cab
ArchiveType: CAB (Microsoft)
--> ied.exe
[FUND!] Ist das Trojanische Pferd TR/Downloader.Mediket.A
Wie bekommt man den weg ?
Soll ich es löschen ?
Gibt mir mal bitte tipps

Yopie · 11.03.2005, 17:02

Betriebssystem?
Pfadangabe?
AV-Programm?

Fragen über Fragen....

edit: Ich schieb noch ein "Boardsuche?" hinterher.

Gruß

Yopie

Addy Buschu · 11.03.2005, 17:04

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\mozilla.org\Mozilla\Mozilla.exe
C:\Programme\ICQLite\ICQLite.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {8A4EA987-82C2-4E50-80B1-F4329BD2F1CF} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {8A4EA987-82C2-4E50-80B1-F4329BD2F1CF} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - Trusted Zone: *.frame.crazywinnings.com
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab

Haui45 · 11.03.2005, 17:04

Ich rate mal:
WinXP
TIF's
AntiVir

löschen? -> Ja

Temp- u. TIF-Ordner leeren.

Addy Buschu · 11.03.2005, 17:05

Windows Xp
Antivir

Haui45 · 11.03.2005, 17:06

Bitte ein komplettes Logfile posten.

Addy Buschu · 11.03.2005, 17:06

Stimmt
Ist das echt ne gute idee zu löschen ? es gehört doch zu windows oder?

Addy Buschu · 11.03.2005, 17:08

Logfile of HijackThis v1.98.2
Scan saved at 17:07:48, on 11.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\mozilla.org\Mozilla\Mozilla.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Programme\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {8A4EA987-82C2-4E50-80B1-F4329BD2F1CF} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {8A4EA987-82C2-4E50-80B1-F4329BD2F1CF} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - Trusted Zone: *.frame.crazywinnings.com
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab

Yopie · 11.03.2005, 17:08

Zitat:

Zitat von Haui45

Ich rate mal:
WinXP
TIF's
AntiVir

Zumindest 2 von 3 richtigen!

Bei den TIFs müssen wir uns noch gedulden...

@Addy:
Wo wird das Teil denn gefunden? (Pfadangabe?) Mach evtl. mal den Mozilla-Cache leer!

Und installier das SP2!

Gruß

Yopie

Haui45 · 11.03.2005, 17:08

Ja löschen, falls es nicht funktioniert, manuell im abgesicherten Modus.
Wird wahrscheinlich direkt unter C:\ sein und nicht in den Temp Files.

Addy Buschu · 11.03.2005, 17:09

C:\ied_s7m.cab

Addy Buschu · 11.03.2005, 17:10

wie kann ich das löschen
O15 - Trusted Zone: *.frame.crazywinnings.com
unter hijack geht das leider ne

Haui45 · 11.03.2005, 17:11

http://www.trojaner-board.de/showpos...6&postcount=31

C:\ied_s7m.cab löschen

Neues komplettes Logfile posten.

Addy Buschu · 11.03.2005, 17:28

Logfile of HijackThis v1.98.2
Scan saved at 17:26:15, on 11.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\mozilla.org\Mozilla\Mozilla.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Programme\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {8A4EA987-82C2-4E50-80B1-F4329BD2F1CF} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {8A4EA987-82C2-4E50-80B1-F4329BD2F1CF} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab

Addy Buschu · 11.03.2005, 17:29

Ok es ist jetzt weg .-danke noch
sag mal bei Running processes: sind die alle ok ? oder kann sich da auch ein trojaner verstecken ?

11.03.2005, 17:02	#2
Yopie Moderator, a.D.	ied.exe Hilfe Betriebssystem? Pfadangabe? AV-Programm? Fragen über Fragen.... edit: Ich schieb noch ein "Boardsuche?" hinterher. Gruß Yopie __________________

ied.exe Hilfe

Log-Analyse und Auswertung: ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

ied.exe Hilfe

Ähnliche Themen: ied.exe Hilfe

11.03.2005, 16:52	#1
Addy Buschu	ied.exe Hilfe :\ ied_s7m.cab ArchiveType: CAB (Microsoft) --> ied.exe [FUND!] Ist das Trojanische Pferd TR/Downloader.Mediket.A Wie bekommt man den weg ? Soll ich es löschen ? Gibt mir mal bitte tipps

11.03.2005, 17:04	#4
Haui45	ied.exe Hilfe Ich rate mal: WinXP TIF's AntiVir löschen? -> Ja Temp- u. TIF-Ordner leeren.

11.03.2005, 17:05	#5
Addy Buschu	ied.exe Hilfe Windows Xp Antivir

11.03.2005, 17:06	#6
Haui45	ied.exe Hilfe Bitte ein komplettes Logfile posten.

11.03.2005, 17:06	#7
Addy Buschu	ied.exe Hilfe Stimmt Ist das echt ne gute idee zu löschen ? es gehört doch zu windows oder?

11.03.2005, 17:08	#10
Haui45	ied.exe Hilfe Ja löschen, falls es nicht funktioniert, manuell im abgesicherten Modus. Wird wahrscheinlich direkt unter C:\ sein und nicht in den Temp Files.

11.03.2005, 17:09	#11
Addy Buschu	ied.exe Hilfe C:\ied_s7m.cab

11.03.2005, 17:10	#12
Addy Buschu	ied.exe Hilfe wie kann ich das löschen O15 - Trusted Zone: *.frame.crazywinnings.com unter hijack geht das leider ne

11.03.2005, 17:11	#13
Haui45	ied.exe Hilfe http://www.trojaner-board.de/showpos...6&postcount=31 C:\ied_s7m.cab löschen Neues komplettes Logfile posten.

11.03.2005, 17:29	#15
Addy Buschu	ied.exe Hilfe Ok es ist jetzt weg .-danke noch sag mal bei Running processes: sind die alle ok ? oder kann sich da auch ein trojaner verstecken ?