Winad.exe

Dieses Thema Winad.exe im Forum "Sonstiges rund ums Internet" wurde erstellt von ITM4, 2. Sep. 2004.

Thema: Winad.exe Hallo zusammen, folgende Situation bei meinem Rechner Siemens T-Bird, 80GB FP, 512 MB RAM, XPHome SP1 (noch ;-) )...

  1. Hallo zusammen,

    folgende Situation bei meinem Rechner

    Siemens T-Bird, 80GB FP, 512 MB RAM, XPHome SP1 (noch ;-) )

    Ich gehe mit dem Firefox ins Netz und nutzte den IE nur noch um mein System upzudaten.

    Soweit so gut - seit gestern stellte ich eine permanent 100 % tige CPU Auslastung fest.
    Ich habe mir die laufenden Prozesse angesehen und 2 mit Namen
    Winad.ex und WebRebates1.exe gefunden welche 98% belegen.
    Laut Google sind diese Dateien Trojaner.

    Also Spybot , AddAware und Stinger laufen lassen - immer noch da.

    Jetzt habe ich Hijack laufen lassen und poste es mal, da ich mir nicht sicher bin was ich fixen kann

    Logfile of HijackThis v1.98.2
    Scan saved at 12:12:14, on 02.09.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
    C:\WINDOWS\system32\drivers\KodakCCS.exe
    C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
    C:\WINDOWS\System32\ScsiAccess.EXE
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
    C:\Programme\McAfee\McAfee Firewall\CPD.EXE
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
    C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
    C:\Programme\McAfee\McAfee Firewall\CPD.EXE
    C:\Programme\QuickTime\qttask.exe
    C:\Program Files\Winad Client\Winad.exe
    C:\Programme\Web_Rebates\WebRebates0.exe
    C:\Program Files\Winad Client\WinClt.exe
    C:\WINDOWS\System32\hxjzaa.exe
    C:\temp\msbb.exe
    C:\WINDOWS\oxeb.exe
    C:\Programme\AGFEO\ISDN Guard\agfguard.exe
    C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
    C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
    C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
    C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
    C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
    C:\Programme\Web_Rebates\WebRebates1.exe
    C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wintotal.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
    O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
    O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
    O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe
    O4 - HKLM\..\Run: [glhyhclp] C:\WINDOWS\System32\hxjzaa.exe
    O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
    O4 - HKLM\..\Run: [oxeb] C:\WINDOWS\oxeb.exe
    O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
    O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
    O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
    O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/de/techsupp/activedata/symsupportutil.CAB
    O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab
    O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst3_x.cab
    O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...71b0834b3328:522a1c137ec85ca995271ab95b94951b
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1093197332069
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
    O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game16.zylomgames.com/activex/zylomloader.cab

    Wo kann ich mir das seit gestern eingefangen haben - ich war weder auf bösen Seiten noch habe ich was installiert :(

    Danke im Vorraus an alle ,

    ITM4
     
  2. Trojaner?
    Wie wäre es mit Versuch mit A2(hoch2), müsste es bei WT im Download-Bereich geben. Ausserdem findet ein guter Virenscanner auch die meisten bzw. verhindert so was sogar.
    Als erstes auch noch die Systemwiederherstellung abstellen.
     
  3. Die von Dir benutzten Programme sind von Hause aus keine Trojaner-Entferner!
    Sowas findest Du als bestandteil von Virenscannern oder als Standalone-Programme
    Einige davon gibt es hier:
    http://www.wintotal.de/Software/index.php?rb=31
     
  4. ;)
    hi ani,
    Du weist es, ich weis es, aber leider scheint es da doch noch Unkenntnis drüber zu geben ;D
    Der Rest ist Schweigen.
     
  5. Dafür sind wir ja zum Helfen da :)
     
  6. ;D
    so iss es, auch wenn ich mich jetzt vor Lachen wälzen muss ;)
     
  7. hmm.. ,

    ich verstehe nur nicht was an meinem Problem und meiner Frage/Verhalten so lächerlich sein soll :eek:

    Grüße ITM4
     
  8. hi,
    diese einträge würde ich löschen
    was für ein antiviren programm nutzt du?
    schon mal antivir probiert

    mfg
    mimei
     
  9. ;D
    Na ja, wenn der DAU(sprich ich) dem Profi hilft ist es schon irgendwie lustig. Das Problem ist natürlich gar nicht so lustig. Image zurück und gut ist.