Habe großes Problem mit Troj/Dloader-MK

#16 Hallo Sabina !

Hide Files (hfp.exe) und Birthday Remember habe ich ständig im Gebrauch und kann Ich daher nicht löschen .
Wareout.reg erscheint bei mir nicht auf dem Desktop.
Silentrunner funktioniert bei mir auch nicht ( kein Programmsymbol).

Weiß nicht ob es an mir liegt (blutiger Anfänger), oder an der alten Kiste hier (Win 98 SE Baujahr 1999).

Den Rest sende ich Dir hier :

Wininit.bak

[Rename]
NUL=C:\WINDOWS\SYSTEM\MSASMC18.DLL
NUL=C:\WINDOWS\SYSTEM\CDIMGDEV.DLL
NUL=C:\WINDOWS\SYSTEM\MSASMC18.DLL
NUL=C:\WINDOWS\SYSTEM\CDIMGDEV.DLL



tmpdelis.bat

C:\WINDOWS>



xxxxxxxxxxxxxxxxxxxxxxx

Logfile of HijackThis v1.99.1
Scan saved at 09:41:57, on 08.09.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\HFP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\#DOWNLOADS#\##-TROJ-DLOADER-MK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [hfprog] hfp.exe
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe"
O4 - HKCU\..\Run: [OnzBirtRem] "C:\THOMAS\#BIRTHDAY REMEMBER\BIRTHDAYREMEMBER.EXE" "los"
O4 - HKCU\..\Run: [BirthdayRemember] C:\Programme\BirthdayRemember\BirthdayRemember.exe
O4 - HKCU\..\Run: [BirthdayRemember6] "C:\PROGRAMME\BIRTHDAYREMEMBER\BirthdayRemember.exe" "autostart"
O4 - HKCU\..\RunServices: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe"
O4 - HKCU\..\RunServices: [OnzBirtRem] "C:\THOMAS\#BIRTHDAY REMEMBER\BIRTHDAYREMEMBER.EXE" "los"
O4 - HKCU\..\RunServices: [BirthdayRemember] C:\Programme\BirthdayRemember\BirthdayRemember.exe
O4 - HKCU\..\RunServices: [BirthdayRemember6] "C:\PROGRAMME\BIRTHDAYREMEMBER\BirthdayRemember.exe" "autostart"
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .rs2: C:\PROGRA~1\INTERN~1\PLUGINS\nprs2plg.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de


ps: Wie setze ich die DNS Server Einstellungen mit Hijackthis zurück ?

Alles Gute und schöne Grüße
Magdalene

#17 einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\SYSTEM\hfp.exe

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten
__________
MfG Sabina

rund um die PC-Sicherheit

#18 ich habe @Arnold gebeten, sich das Tool zu laden und es ist nicht koscher....deinstalliere es vorsichthalber mal.

Zitat

Hab mir dieses Program runter geladen und installiert kommt jetzt nach +/- eine Stunde der bericht/pop-up. von www.hide-files.biz "the copy is expired"
glücklicherweise hatte ich keine Dokumente reinkopiert
Auch wenn ich das program starte kommt diese meldung,fremd

loesche mit der Killbox

C:\WINDOWS\SYSTEM\MSASMC18.DLL
C:\WINDOWS\SYSTEM\CDIMGDEV.DLL
C:\WINDOWS\WININIT.BAK


suche eine miniport_mp.exe ...findest du sie????


•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

Doc Find Spec MRU

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:

MSASMC18.DLL

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:

hfp.exe

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)


reinkopieren:

CDIMGDEV.DLL

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:

miniport_mp.exe

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Hallo Sabina !
Die VBS-Programme gehen bei mir nicht : Silent-Runner, Registry Search Tool

Doppelklick:regsrch.vbs

Funktioniert auf meinem PC nicht ??!!

Wie die anderen vBS-Programme auch ! Warum ? Kein Programm-Symbol.

------Msconfig im Autostart : MiniPort_MP.exe , csnpy.exe , HCLEAN.EXE-- Habe ich aus dem Autostart entfernt indem ich das Häckchen weg gemacht habe.

Den Rest habe ich mit Killbox gelöscht.

This is a report processed by VirusTotal on 09/08/2005 at 18:24:03 (CET) after scanning the file "hfp.exe" file.

Antivirus Version Update Result
AntiVir 6.31.1.0 09.08.2005 no virus found
Avast 4.6.695.0 09.07.2005 no virus found
AVG 718 09.07.2005 no virus found
Avira 6.31.1.0 09.08.2005 no virus found
BitDefender 7.0 09.02.2005 no virus found
CAT-QuickHeal 8.00 09.08.2005 no virus found
ClamAV devel-20050725 09.07.2005 no virus found
DrWeb 4.32b 09.08.2005 no virus found
eTrust-Iris 7.1.194.0 09.07.2005 no virus found
eTrust-Vet 11.9.1.0 09.08.2005 no virus found
Fortinet 2.41.0.0 09.07.2005 suspicious
F-Prot 3.16c 09.07.2005 no virus found
Ikarus 0.2.59.0 09.08.2005 no virus found
Kaspersky 4.0.2.24 09.08.2005 no virus found
McAfee 4577 09.08.2005 no virus found
NOD32v2 1.1211 09.07.2005 no virus found
Norman 5.70.10 09.08.2005 no virus found
Panda 8.02.00 09.08.2005 no virus found
Sophos 3.97.0 09.08.2005 no virus found
Symantec 8.0 09.08.2005 no virus found
TheHacker 5.8.2.102 09.08.2005 no virus found
VBA32 3.10.4 09.08.2005 no virus found



Schönen Abend noch !
Magdalene

#20 nun kommen wir der Sache schon naeher......uff......

Zitat

MSASMC18.DLL 37,376 bytes (hidden file)
CDIMGDEV.DLL 36,864 bytes (hidden file)
NSCOMPAT.TLB 23,392 bytes
AMCOMPAT.TLB 16,832 bytes
MPSCH~1.XML 19,012 bytes
MINIPORT.EXE 0 bytes
MINIPORT.$@! 0 bytes
MINIPORT.BAK 0 bytes

Fixe mit dem HijackThis:

O12 - Plugin for .rs2: C:\PROGRA~1\INTERN~1\PLUGINS\nprs2plg.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

PC neustarten

gehe in die Registry

loeschen, falls es das gibt:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Run/MiniPortRt

HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{F2674532-0B22-4C87-9D3D-0B1BB326739D}\InprocServer32
@="C:\\WINDOWS\\SYSTEM\\MSASMC18.DLL"
"ThreadingModel"="Apartment"

HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{066D44DC-858C-
40C7-AEA8-FEED77126121}[/b]\1.0\0\win32
@="C:\\WINDOWS\\SYSTEM\\MSASMC18.DLL"

HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{2179C5D0-EBFF-11cf-B6FD-00AA00B4E220}\1.0\0

HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{2179C5D0-EBFF-11cf-B6FD-00AA00B4E220}\1.0\0\win32
@="C:\\WINDOWS\\SYSTEM\\nscompat.tlb"

HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{05589fa0-c356-11ce-bf01-00aa0055595a}\2.0\0\win32

HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{05589fa0-c356-11ce-bf01-00aa0055595a}\2.0\0\win32
@="C:\\WINDOWS\\SYSTEM\\amcompat.tlb"



loesche mit der Killbox:
C:\WINDOWS\SYSTEM\MSASMC18.DLL
C:\WINDOWS\SYSTEM\CDIMGDEV.DLL
C:\WINDOWS\WININIT.BAK
C:\WINDOWS\SYSTEM\WMPSCH~1.XML
C:\WINDOWS\SYSTEM\MINIPORT.EXE
C:\WINDOWS\SYSTEM\MINIPORT.$@!
C:\WINDOWS\MINIPORT.BAK
C:\WINDOWS\SYSTEM\amcompat.tlb
C:\WINDOWS\SYSTEM\nscompat.tlb
C:\WINDOWS\SYSTEM\MiniPort_MP.exe
C:\WINDOWS\SYSTEM\csnpy.exe
C:\WINDOWS\SYSTEM\HCLEAN.EXE

dann berichte, wie es steht......

oder:

oeffne DOS PROMPT
Navigate zu :C:\Windows\System

reinkopierendann immer enter druecken)

attrib -h miniport_mp.exe.
attrib -h msasmc18.dll.
attrib -h cdimgdev.dll.

del MINIPO~1.EXE
del MSASMC18.DLL
del CDIMGDEV.DLL
del NSCOMPAT.TLB
del AMCOMPAT.TLB
del WMPSCH~1.XML
del MINIPORT.EXE
del MINIPORT.$@!
del MINIPORT.BAK
del HCLEAN.EXE
del csnpy.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hallo Sabina !

Antivir hat noch folgendes gefunden :


Erstellungsdatum der Reportdatei: Samstag, 10. September 2005 17:57

AntiVir®/9x PersonalEdition Classic
Build 1047 vom 07.06.2005
Hauptptogramm 6.31.00.03 vom 10.05.2005
VDF-Datei 6.31.1.229 (0) vom 09.09.2005


C:\WINDOWS\SYSTEM
dmbqf.exe
[FUND!] Ist das Trojanische Pferd TR/DNSChanger.S.1.B
WURDE GELÖSCHT!




Habe alles erledigt ---puh-- . Scheint jetzt erstmal alles in Ordnung.
Surfe jetzt nur noch mit Firefox. Kannst Du mir sagen, wie ich Win98
dazu bringe Jpg`s standardmäßig mit Firefox anzuzeigen ?
Habe Firefox als Standard-Browser gesetzt, aber wenn ich auf
Jpg`s klicke will immer noch der IE sie öffnen.

Ich sage jetzt schon mal vielen vielen Dank für die tolle Hilfe und wünsche noch ein schönes Wochenende !

Mit freundlichen Grüßen
Maggi

#22 Hallo Maggi,

bin mir nicht sicher, ob das bei Win98 funktioniert (ist schon ein Weilchen her, dass ich dieses Betriebssystem benutzt habe). Kannst es ja mal ausprobieren.

Systemsteuerung => Ordneroptionen => Reiter "Dateitypen" öffnen. Dort findest Du, alphabetisch geordnet, (wenn es so unter Win98 funktioniert) eine Aufstellung der Dateitypen auf Deinem Rechner. Navigiere zum JPG- und JPEG-Dateityp und drücke "Ändern" bzw. Doppelklicke auf den Dateityp (weiß wie gesagt nicht, wie es genau unter Win98 gemacht wird), dann wird eine Auswahlliste der Programme angezeigt, mit denen man diesen Dateityp öffnen könnte => wähle Mozilla Firefox aus und bestätige mit OK. Danach sollten sich JPG- bzw. JPEG-Dateien beim Doppelklicken im Firefox öffnen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#23 Hallo Heron !

Vielen Dank für deinen Tipp. Hab´s gefunden im Explorer unter Ansicht/Ordneroptionen.

mfg
Maggi