Habe großes Problem mit Troj/Dloader-MK |
||
---|---|---|
#0
| ||
08.09.2005, 11:30
...neu hier
Themenstarter Beiträge: 10 |
||
|
||
08.09.2005, 13:10
Ehrenmitglied
Beiträge: 29434 |
#17
einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html C:\WINDOWS\SYSTEM\hfp.exe Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.09.2005, 13:46
Ehrenmitglied
Beiträge: 29434 |
#18
ich habe @Arnold gebeten, sich das Tool zu laden und es ist nicht koscher....deinstalliere es vorsichthalber mal.
Zitat Hab mir dieses Program runter geladen und installiert kommt jetzt nach +/- eine Stunde der bericht/pop-up. von www.hide-files.biz "the copy is expired"loesche mit der Killbox C:\WINDOWS\SYSTEM\MSASMC18.DLL C:\WINDOWS\SYSTEM\CDIMGDEV.DLL C:\WINDOWS\WININIT.BAK suche eine miniport_mp.exe ...findest du sie???? •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: Doc Find Spec MRU Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: MSASMC18.DLL Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: hfp.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: CDIMGDEV.DLL Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: miniport_mp.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.09.2005, 18:27
...neu hier
Themenstarter Beiträge: 10 |
#19
Hallo Sabina !
Die VBS-Programme gehen bei mir nicht : Silent-Runner, Registry Search Tool Doppelklick:regsrch.vbs Funktioniert auf meinem PC nicht ??!! Wie die anderen vBS-Programme auch ! Warum ? Kein Programm-Symbol. ------Msconfig im Autostart : MiniPort_MP.exe , csnpy.exe , HCLEAN.EXE-- Habe ich aus dem Autostart entfernt indem ich das Häckchen weg gemacht habe. Den Rest habe ich mit Killbox gelöscht. This is a report processed by VirusTotal on 09/08/2005 at 18:24:03 (CET) after scanning the file "hfp.exe" file. Antivirus Version Update Result AntiVir 6.31.1.0 09.08.2005 no virus found Avast 4.6.695.0 09.07.2005 no virus found AVG 718 09.07.2005 no virus found Avira 6.31.1.0 09.08.2005 no virus found BitDefender 7.0 09.02.2005 no virus found CAT-QuickHeal 8.00 09.08.2005 no virus found ClamAV devel-20050725 09.07.2005 no virus found DrWeb 4.32b 09.08.2005 no virus found eTrust-Iris 7.1.194.0 09.07.2005 no virus found eTrust-Vet 11.9.1.0 09.08.2005 no virus found Fortinet 2.41.0.0 09.07.2005 suspicious F-Prot 3.16c 09.07.2005 no virus found Ikarus 0.2.59.0 09.08.2005 no virus found Kaspersky 4.0.2.24 09.08.2005 no virus found McAfee 4577 09.08.2005 no virus found NOD32v2 1.1211 09.07.2005 no virus found Norman 5.70.10 09.08.2005 no virus found Panda 8.02.00 09.08.2005 no virus found Sophos 3.97.0 09.08.2005 no virus found Symantec 8.0 09.08.2005 no virus found TheHacker 5.8.2.102 09.08.2005 no virus found VBA32 3.10.4 09.08.2005 no virus found Schönen Abend noch ! Magdalene |
|
|
||
08.09.2005, 19:40
Ehrenmitglied
Beiträge: 29434 |
#20
nun kommen wir der Sache schon naeher......uff......
Zitat MSASMC18.DLL 37,376 bytes (hidden file)Fixe mit dem HijackThis: O12 - Plugin for .rs2: C:\PROGRA~1\INTERN~1\PLUGINS\nprs2plg.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll PC neustarten gehe in die Registry loeschen, falls es das gibt: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Run/MiniPortRt HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{F2674532-0B22-4C87-9D3D-0B1BB326739D}\InprocServer32 @="C:\\WINDOWS\\SYSTEM\\MSASMC18.DLL" "ThreadingModel"="Apartment" HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{066D44DC-858C- 40C7-AEA8-FEED77126121}[/b]\1.0\0\win32 @="C:\\WINDOWS\\SYSTEM\\MSASMC18.DLL" HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{2179C5D0-EBFF-11cf-B6FD-00AA00B4E220}\1.0\0 HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{2179C5D0-EBFF-11cf-B6FD-00AA00B4E220}\1.0\0\win32 @="C:\\WINDOWS\\SYSTEM\\nscompat.tlb" HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{05589fa0-c356-11ce-bf01-00aa0055595a}\2.0\0\win32 HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{05589fa0-c356-11ce-bf01-00aa0055595a}\2.0\0\win32 @="C:\\WINDOWS\\SYSTEM\\amcompat.tlb" loesche mit der Killbox: C:\WINDOWS\SYSTEM\MSASMC18.DLL C:\WINDOWS\SYSTEM\CDIMGDEV.DLL C:\WINDOWS\WININIT.BAK C:\WINDOWS\SYSTEM\WMPSCH~1.XML C:\WINDOWS\SYSTEM\MINIPORT.EXE C:\WINDOWS\SYSTEM\MINIPORT.$@! C:\WINDOWS\MINIPORT.BAK C:\WINDOWS\SYSTEM\amcompat.tlb C:\WINDOWS\SYSTEM\nscompat.tlb C:\WINDOWS\SYSTEM\MiniPort_MP.exe C:\WINDOWS\SYSTEM\csnpy.exe C:\WINDOWS\SYSTEM\HCLEAN.EXE dann berichte, wie es steht...... oder: oeffne DOS PROMPT Navigate zu :C:\Windows\System reinkopierendann immer enter druecken) attrib -h miniport_mp.exe. attrib -h msasmc18.dll. attrib -h cdimgdev.dll. del MINIPO~1.EXE del MSASMC18.DLL del CDIMGDEV.DLL del NSCOMPAT.TLB del AMCOMPAT.TLB del WMPSCH~1.XML del MINIPORT.EXE del MINIPORT.$@! del MINIPORT.BAK del HCLEAN.EXE del csnpy.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.09.2005, 12:10
...neu hier
Themenstarter Beiträge: 10 |
#21
Hallo Sabina !
Antivir hat noch folgendes gefunden : Erstellungsdatum der Reportdatei: Samstag, 10. September 2005 17:57 AntiVir®/9x PersonalEdition Classic Build 1047 vom 07.06.2005 Hauptptogramm 6.31.00.03 vom 10.05.2005 VDF-Datei 6.31.1.229 (0) vom 09.09.2005 C:\WINDOWS\SYSTEM dmbqf.exe [FUND!] Ist das Trojanische Pferd TR/DNSChanger.S.1.B WURDE GELÖSCHT! Habe alles erledigt ---puh-- . Scheint jetzt erstmal alles in Ordnung. Surfe jetzt nur noch mit Firefox. Kannst Du mir sagen, wie ich Win98 dazu bringe Jpg`s standardmäßig mit Firefox anzuzeigen ? Habe Firefox als Standard-Browser gesetzt, aber wenn ich auf Jpg`s klicke will immer noch der IE sie öffnen. Ich sage jetzt schon mal vielen vielen Dank für die tolle Hilfe und wünsche noch ein schönes Wochenende ! Mit freundlichen Grüßen Maggi Dieser Beitrag wurde am 10.09.2005 um 20:19 Uhr von Maggi2005 editiert.
|
|
|
||
10.09.2005, 21:23
Member
Beiträge: 1132 |
#22
Hallo Maggi,
bin mir nicht sicher, ob das bei Win98 funktioniert (ist schon ein Weilchen her, dass ich dieses Betriebssystem benutzt habe). Kannst es ja mal ausprobieren. Systemsteuerung => Ordneroptionen => Reiter "Dateitypen" öffnen. Dort findest Du, alphabetisch geordnet, (wenn es so unter Win98 funktioniert) eine Aufstellung der Dateitypen auf Deinem Rechner. Navigiere zum JPG- und JPEG-Dateityp und drücke "Ändern" bzw. Doppelklicke auf den Dateityp (weiß wie gesagt nicht, wie es genau unter Win98 gemacht wird), dann wird eine Auswahlliste der Programme angezeigt, mit denen man diesen Dateityp öffnen könnte => wähle Mozilla Firefox aus und bestätige mit OK. Danach sollten sich JPG- bzw. JPEG-Dateien beim Doppelklicken im Firefox öffnen. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
12.09.2005, 08:53
...neu hier
Themenstarter Beiträge: 10 |
#23
Hallo Heron !
Vielen Dank für deinen Tipp. Hab´s gefunden im Explorer unter Ansicht/Ordneroptionen. mfg Maggi |
|
|
||
Hide Files (hfp.exe) und Birthday Remember habe ich ständig im Gebrauch und kann Ich daher nicht löschen .
Wareout.reg erscheint bei mir nicht auf dem Desktop.
Silentrunner funktioniert bei mir auch nicht ( kein Programmsymbol).
Weiß nicht ob es an mir liegt (blutiger Anfänger), oder an der alten Kiste hier (Win 98 SE Baujahr 1999).
Den Rest sende ich Dir hier :
Wininit.bak
[Rename]
NUL=C:\WINDOWS\SYSTEM\MSASMC18.DLL
NUL=C:\WINDOWS\SYSTEM\CDIMGDEV.DLL
NUL=C:\WINDOWS\SYSTEM\MSASMC18.DLL
NUL=C:\WINDOWS\SYSTEM\CDIMGDEV.DLL
tmpdelis.bat
C:\WINDOWS>
xxxxxxxxxxxxxxxxxxxxxxx
Logfile of HijackThis v1.99.1
Scan saved at 09:41:57, on 08.09.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\HFP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\#DOWNLOADS#\##-TROJ-DLOADER-MK\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [hfprog] hfp.exe
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe"
O4 - HKCU\..\Run: [OnzBirtRem] "C:\THOMAS\#BIRTHDAY REMEMBER\BIRTHDAYREMEMBER.EXE" "los"
O4 - HKCU\..\Run: [BirthdayRemember] C:\Programme\BirthdayRemember\BirthdayRemember.exe
O4 - HKCU\..\Run: [BirthdayRemember6] "C:\PROGRAMME\BIRTHDAYREMEMBER\BirthdayRemember.exe" "autostart"
O4 - HKCU\..\RunServices: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe"
O4 - HKCU\..\RunServices: [OnzBirtRem] "C:\THOMAS\#BIRTHDAY REMEMBER\BIRTHDAYREMEMBER.EXE" "los"
O4 - HKCU\..\RunServices: [BirthdayRemember] C:\Programme\BirthdayRemember\BirthdayRemember.exe
O4 - HKCU\..\RunServices: [BirthdayRemember6] "C:\PROGRAMME\BIRTHDAYREMEMBER\BirthdayRemember.exe" "autostart"
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .rs2: C:\PROGRA~1\INTERN~1\PLUGINS\nprs2plg.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
ps: Wie setze ich die DNS Server Einstellungen mit Hijackthis zurück ?
Alles Gute und schöne Grüße
Magdalene