Hallo!

Mein Virusprogramm Kapersky AntiVirus hat den Trojan Downloader.Win32.Ladder in zwei Dateien gefunden. Das Programm konnte ihn leider nicht löschen, weswegen ich es auch versucht habe - ohne Erfolg.
Nach genauem Studium dieses Forums habe ich mir nun HijackThis heruntergeladen und einen Scan gemacht.
Könnte mir vielleicht jemand diesen Scan überprüfen, ob irgend etwas verdächtig erscheint?
Ich bedanke mich jetzt schon sehr herzlich dafür!

Logfile of HijackThis v1.97.7
Scan saved at 11:47:05, on 10.01.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus\avpm.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Dokumente und Einstellungen\KarMar\Desktop\Meine Dateien\Treiber\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVPCC] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe /wait
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...7977.324537037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B93D8557-18D3-44C4-8F4D-0838AD6F1684}: NameServer = 195.3.96.67,195.3.96.68
[/LIST]

Hallo!
Ich habe mir das obige Log angeschaut und kann auf den ersten Blick nichts Verdächtiges entdecken. Allerdings sind mir z. B. die Iomega-Dateien auch unbekannt.

Der Win32.Ladder taucht normalerweise in Zusammenhang mit einer Datei "ieloader.cab" auf. Guck' doch mal in diesen Thread.

Solltest Du eine verdächtige Datei finden, kannst Du diese überprüfen lassen: KAV-Online-Check

Sollte das Problem weiterhin auftreten, dann poste bitte nochmal in diesem Thread. Dann müssen vielleicht die Voll-Profis ran ;)

Gruß!
MyThinkTank

Hallo!

Vielen Dank für die Überprüfung!

Ich habe den Virusscanner eingesetzt. Der schreibt mir folgende Meldung:

Virus: TrojanDownloader.Win32.Ladder

Entdeckt in
C:\Programme\Kaspersky.......persky Anti-Virus\ieloader[1].cab

Desinfektion fehlgeschlagen

Diese Datei habe ich mir im Explorer angeschaut und wollte sie löschen. Es geht einfach nicht.
Sie ist eine Zip-Datei. Man kann sie aber mit Win-Zip auch nicht öffnen.
Was soll ich jetzt tun?

</font><blockquote>Zitat:</font><hr />Original erstellt von KarinMaria:
Entdeckt in
C:\Programme\Kaspersky.......persky Anti-Virus\ieloader[1].cab</font>[/QUOTE]Heißt so der Pfad, in dem die cab-Datei gefunden wird???
In einer KAV-Installation hat eine ieloader.cab imho nichts zu suchen. Wo hast Du die KAV-Version den her??

DerBilk

Die Frage habe ich mir auch schon gestellt. Kann es sich um ein Objekt in Quarantäne handeln?

Wie dem auch sei; hier gibt es eine Anleitung, wie man das "ie.loader"-Zeug los wird.
Link: http://securityresponse.symantec.com....freeload.html

@all: mal doof gefragt: wieso findet man via google nur Fragen zu Kasperskys "Win32.ladder", aber kaum Antworten? Hat das Teil noch einen anderen Namen?

Gruß!
MyThinkTank

Hi MTT,

Mein Quarantäne-Pfad sieht aber beispielsweise so aus:
</font><blockquote>Zitat:</font><hr />E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Quarantine</font>[/QUOTE]Deswegen würde mich ja auch 'brennend' interessieren, ob der o. g. Pfad wirklich so lautet, wie von KarinMarina beschrieben und woher sie das Installationspaket hat.

Wenn sich die Datei wirklich in der Quarantäne befindet, sollte es doch genügen, die Datei aus KAV heraus aus der Quarantäne zu löschen?!?

Ich habe auch keinen anderen Namen parat, aber es wäre ja nichts neues, wenn den jeder AV-Hersteller anders nennt...

tschööö, DerBilk

</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank:
@all: mal doof gefragt: wieso findet man via google nur Fragen zu Kasperskys "Win32.ladder", aber kaum Antworten? Hat das Teil noch einen anderen Namen?</font>[/QUOTE]Vermutlich werden den die meisten AV Programme gar nicht finden. Bin im Moment aber auch überfragt, welcher das jetzt genau ist.

@bitmaster:
Schön, mal wieder was von Dir zu hören! [img]smile.gif[/img]

In den Foren von Chip und Spotlight taucht der seit einigen Tagen aber öfters auf. Scheint aber eine Art Dialer-Downloader zu sein. :confused:

Gruß!
MyThinkTank

Hallo an alle!

Es freut mich, dass mein Problem auf Interesse gestoßen ist.

Nun der erwähnte Virus war zuerst in den Temp.InternetFiles drinnen. Kann sein dass, das AntiVirus Programm diesen in Quarantäne geschoben hat. Jedenfalls wurde mir von Kapersky AntiVirus immer eine Trojanermeldung von den zwei Dateien gegeben. Mein Sohn hat mir aber einen super Tipp gegeben. Da ich die infizierten Dateien ja genau kannte, versuchte ich nun sie im Dos-Modus zu löschen und siehe da, es hat geklappt!!!!!!!
Kapersky meldet jetzt auch Virusfrei!!! Meine Freude ist groß.