Habe großes Problem mit Troj/Dloader-MK |
||
---|---|---|
#0
| ||
31.08.2005, 18:35
...neu hier
Beiträge: 10 |
||
|
||
31.08.2005, 22:50
Member
Beiträge: 291 |
#2
1.
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file) mit HijackThis fixen. 2. Und außerdem bitte folgende Datein auf einer dieser Seiten Scannen lassen: http://virusscan.jotti.org/de/ http://www.virustotal.com/flash/index_en.html Datein: Zitat C:\WINDOWS\SYSTEM\HFP.EXEKennst du diese Ip-Adressen: 69.50.176.198 85.255.112.12 Achso noch was: Es finden sich in deinem Logfile weder Hinweise auf einen Virenscanner noch auf eine Firewall. Außerdem solltest du den IE 6 installieren und am besten (fast) nie verwenden. Ob dein Windows aktuell ist, ist leider nicht zu erkennen. Dieser Beitrag wurde am 31.08.2005 um 22:58 Uhr von vfgt editiert.
|
|
|
||
31.08.2005, 22:58
...neu hier
Beiträge: 3 |
||
|
||
01.09.2005, 13:31
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Maggi2005
Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip *entpacken *Doppelklick (Ausführen)-- rkfiles.bat -- im dos-Fenster steht : angegebener Pfad nicht gefunden ! checking the folder -- warten bis sich das DOS-Fenster schliesst (auch wenn es sehr lange dauert) --- poste C:\log.txt FindT http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip in C:\ entpacken -- öffne "FindT" folder -- klicke (runthis.bat) -- poste die txt (Textdatei) in den Thread __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.09.2005, 12:03
...neu hier
Themenstarter Beiträge: 10 |
#5
Hallo !
Vielen Dank an Alle !! Habe folgende Einträge : O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file) mit HijackThis gefixt und hoffentlich endlich Ruhe vor Troj/Dloader-MK. Kann Ich die folgenden IP-Adressen auch irgendwie Löschen ?? 69.50.176.198 85.255.112.12 mfg Maggi2005 |
|
|
||
03.09.2005, 13:16
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@Maggi2005
http://virus-protect.org/Artikel/spyware/Security_Center.html ich brauche Infos ueber dein System .....sonst ist der Wareout-Hijacker weiterhin auf dem PC und die IP-Adresse verstellt. Bitte führe folgendes aus: Erstelle auf dem Desktop eine Datei findit.bat. Rechte Maustaste - Bearbeiten Dort fügst Du ein und speicherst: @echo off cd\ cd %windir%\system dir /a:-d /o:-d > %systemdrive%\system.txt cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\win.txt cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt exit Ausführen! Im Verzeichnis C:\ liegen nun vier Text-Dateien. Die öffnest Du bitte und kopierst alle Einträge der letzten 2 Wochen hier + Silentrunner http://virus-protect.org/silentrunner.html + FindT http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip in C:\ entpacken -- öffne "FindT" folder -- klicke (runthis.bat) -- poste die txt (Textdatei) in den Thread __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.09.2005, 17:40
...neu hier
Themenstarter Beiträge: 10 |
#7
Hallo Sabina !
Leider erhalte ich beim Download von Silent-Runner kein Programm-Symbol(im Win-Zip-Fenster(Win-Zip7)und nach dem Extrahieren), obwohl ich vbs-6 auf dem pc habe. Das Programm startet also nicht. Auch bei find-T sieht es nicht gut aus. Hat auch nicht geklappt (In dieser Anwendung ist ein unzulässiger Speicherseitenzugriff..). Alles andere : Datentr„ger in Laufwerk C: 80-01-05 Seriennummer des Datentr„gers: 1B35-11D6 Verzeichnis von C:\ SYSTEM TXT 82.357 03.09.05 16:18 system.txt SYSTEM~1 TXT 616 03.09.05 16:18 systemtemp.txt WIN TXT 20.245 03.09.05 16:18 win.txt SYS TXT 0 03.09.05 16:18 sys.txt CONFIG SYS 1.103 02.09.05 14:26 Config.sys SCANDISK LOG 579 28.08.05 17:41 SCANDISK.LOG COMMAND PIF 967 24.08.05 6:56 COMMAND.PIF BLACKL~1 LOG 0 22.08.05 11:22 blacklist.log xxxxxxxxxxxxxxxxxxxxxxxxxxx Datentr„ger in Laufwerk C: 80-01-05 Seriennummer des Datentr„gers: 1B35-11D6 Verzeichnis von C:\WINDOWS\SYSTEM HCLEAN32 EXE 4.096 03.09.05 11:53 hclean32.exe RDSNDIN EXE 4.608 03.09.05 11:53 rdsndin.exe NTFSNLPA EXE 45.568 03.09.05 11:53 ntfsnlpa.exe LOADCT~1 EXE 643.446 11.08.05 6:19 loadctr32.exe CSPIJ EXE 54.792 11.08.05 6:13 cspij.exe xxxxxxxxxxxxxxxxxxxxxxxxxxx Datentr„ger in Laufwerk C: 80-01-05 Seriennummer des Datentr„gers: 1B35-11D6 Verzeichnis von C:\WINDOWS\TEMP ~WRD0000 DOC 1.437 03.09.05 16:11 ~WRD0000.doc ~DFFE1F TMP 0 03.09.05 16:10 ~DFFE1F.TMP ~DFF2D2 TMP 0 03.09.05 16:10 ~DFF2D2.TMP ~5183 TMP 0 03.09.05 15:37 ~5183.TMP ~5184 TMP 0 03.09.05 15:37 ~5184.TMP ~32E4 TMP 0 03.09.05 15:35 ~32E4.TMP ~32F2 TMP 0 03.09.05 15:35 ~32F2.TMP 7 Datei(en) 1.437 Bytes xxxxxxxxxxxxxxxxxxxxxxxxxxxxx atentr„ger in Laufwerk C: 80-01-05 Seriennummer des Datentr„gers: 1B35-11D6 Verzeichnis von C:\WINDOWS WIN386 SWP 75.497.472 03.09.05 16:18 WIN386.SWP USER DAT 1.044.512 03.09.05 16:16 USER.DAT SYSTEM DAT 6.938.656 03.09.05 16:15 SYSTEM.DAT ROCKWE~1 LOG 1.043 03.09.05 16:11 Rockwell RC56D2 Seri*hier nicht!* PnP, V.90,K56Flex,Voice,Speakerphone.log STANDARD PWL 1.448 03.09.05 16:11 STANDARD.PWL STI_TR~1 LOG 725.212 03.09.05 15:37 Sti_Trace.log SYSTEM INI 2.511 03.09.05 15:36 SYSTEM.INI WAVEMIX INI 54 03.09.05 15:36 WAVEMIX.INI POWERPNT INI 60 03.09.05 15:36 POWERPNT.INI NDISLOG TXT 0 03.09.05 15:36 NDISLOG.TXT HH DAT 10.042 02.09.05 14:27 hh.dat TWAIN001 MTX 5 01.09.05 13:54 Twain001.Mtx WININIT BAK 44 31.08.05 22:07 WININIT.BAK MSIMGSIZ DAT 16.384 28.08.05 16:53 MSIMGSIZ.DAT TMPDELIS BAT 122 22.08.05 9:19 tmpdelis.bat FSAV MIF 2.509 22.08.05 9:15 FSAV.MIF TWAIN LOG 628 17.08.05 11:35 TWAIN.LOG xxxxxxxxxxxxxx Vielen Dank erstmal ! Melde mich morgen wieder. Schöne Grüße Maggi |
|
|
||
04.09.2005, 01:52
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@Maggi2005
•KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\SYSTEM\hclean32.exe C:\WINDOWS\SYSTEM\rdsndin.exe C:\WINDOWS\SYSTEM\ntfsnlpa.exe C:\WINDOWS\SYSTEM\loadctr32.exe C:\WINDOWS\SYSTEM\cspij.exe PC neustarten Onlinevirenscan (Kaspersky und panda)--> dann berichte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.09.2005, 17:58
...neu hier
Themenstarter Beiträge: 10 |
#9
Hallo Sabina !
Ich habe die Dateien mit Killbox gelöscht und einen Online-Scan mit Kapersky gemacht. Der Scan mit Panda hat leider nicht funktioniert. Hier das Scan Ergebnis von Kapersky : ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Sunday, September 04, 2005 17:38:11 Operating System: Microsoft Windows 98 SE Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 4/09/2005 Kaspersky Anti-Virus database records: 138832 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - Critical Areas: C:\WINDOWS c:\windows\TEMP\ Scan Statistics: Total number of scanned objects: 6990 Number of viruses found: 2 Number of infected objects: 2 Number of suspicious objects: 0 Duration of the scan process: 1574 sec Infected Object Name - Virus Name C:\WINDOWS\SYSTEM\msasmc18.dll Infected: Trojan.Win32.WebSearch.d C:\WINDOWS\SYSTEM\cdimgdev.dll Infected: Trojan-Downloader.Win32.Zlob.e Scan process completed. xxxxxx p.s. Problem besteht noch. mfg Maggi |
|
|
||
05.09.2005, 18:27
Ehrenmitglied
Beiträge: 29434 |
#10
loesche mit der Killbox:
C:\WINDOWS\SYSTEM\msasmc18.dll C:\WINDOWS\SYSTEM\cdimgdev.dll __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2005, 21:05
...neu hier
Themenstarter Beiträge: 10 |
#11
Hallo Sabina !
Habe C:\WINDOWS\SYSTEM\msasmc18.dll C:\WINDOWS\SYSTEM\cdimgdev.dll mit Killbox gelöscht ! Doch leider besteht das Problem noch. Vielen Dank für Deine bisherige Hilfe ! Vieleicht fällt Dir noch was ein ? mfg Maggi |
|
|
||
06.09.2005, 22:13
Ehrenmitglied
Beiträge: 6028 |
#12
Mach ein Start-up list mit hilfe von Hijack This und kopiere es ins Forum
http://virus-protect.org/hijackthis.html#Wie_Sie_eine_Autostart_Aufstellung_erstellen __________ MfG Argus |
|
|
||
07.09.2005, 00:24
Ehrenmitglied
Beiträge: 29434 |
#13
ich habe etwas uebersehen ....entschuldige
--> rechtsklick--> poste mir den Inhalt der Datein C:\Windows\Tmpdelis.bat C:\WINDOWS\WININIT.BAK oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern (dann erscheint eine wareout.reg auf dem Desktop) http://virus-protect.org/reg/wareout.reg Die Datei "wareout.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM\..\RunServices: [hfprog] hfp.exe O4 - HKCU\..\Run: [OnzBirtRem] "C:\THOMAS\#BIRTHDAY REMEMBER\BIRTHDAYREMEMBER.EXE" "los" O4 - HKCU\..\Run: [BirthdayRemember] C:\Programme\BirthdayRemember\BirthdayRemember.exe O4 - HKCU\..\Run: [BirthdayRemember6] "C:\PROGRAMME\BIRTHDAYREMEMBER\BirthdayRemember.exe" "autostart" O4 - HKCU\..\RunServices: [OnzBirtRem] "C:\THOMAS\#BIRTHDAY REMEMBER\BIRTHDAYREMEMBER.EXE" "los" O4 - HKCU\..\RunServices: [BirthdayRemember] C:\Programme\BirthdayRemember\BirthdayRemember.exe O4 - HKCU\..\RunServices: [BirthdayRemember6] "C:\PROGRAMME\BIRTHDAYREMEMBER\BirthdayRemember.exe" "autostart" O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file) O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.198,85.255.112.12 PC neustarten suche/loesche: C:\WINDOWS\SYSTEM\HFP.EXE Wareout Remover http://forum.hijackthis.de/showthread.php?t=7597 1. Downloade den Remover (angehängt)entpacke und speichere ihn auf deinem Desktop 2. Downloade (wenn nicht schon passiert) die neueste Hijackthis Version und entpacke sie in ihren eigene Ordner 3. starte keine anderen Programme, kein Internet Explorer oder ähnliches 4. Starte den wareout_remover.exe, drücke install, warte (explorer fenster verschwindet kurz) Setze die DNS Server Einstellungen zurück, ambesten mit Hijackthis und setze anschliessend deine urspünglichen IP Adressen (bei Problemen VORHER deinen Supporter fragen) 69.50.176.198,85.255.112.12 silentrunner (poste alles) http://virus-protect.org/silentrunner.html ---------- Info: ist fuer mich http://wilderssecurity.com/showthread.php?p=256253#post256253 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.09.2005, 08:43
...neu hier
Themenstarter Beiträge: 10 |
#14
Hallo Sabina !
Hfp.-exe ist von der Firma Spydex (http://www.spydex.com/). Das Programm heißt Hide Files. Ich habe mir das Programm von einer PC-Zeitschrift CD installiert. Schöne Grüße Maggi |
|
|
||
07.09.2005, 09:24
Ehrenmitglied
Beiträge: 29434 |
#15
diese Seite werde ich mal mit anderen Kollegen hier genauer unter die Lupe nehmen
du fixt erst einmal alles, was ich geschrieben habe und deinstallierst das Tool, o.k. ? dann arbeite den Rest ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Habe großes Problem mit Troj/Dloader-MK, mit dem mein PC infiziert ist(You computer might be a risk...balloon wav...).
Was kann ich tun um den Trojaner loszuwerden ? (win 98 SE)
Vielen Dank im voraus.
Schöne Grüße,
Magdalene
Logfile of HijackThis v1.99.1
Scan saved at 14:24:33, on 31.08.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\HFP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\#DOWNLOADS#\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [hfprog] hfp.exe
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe"
O4 - HKCU\..\Run: [OnzBirtRem] "C:\THOMAS\#BIRTHDAY REMEMBER\BIRTHDAYREMEMBER.EXE" "los"
O4 - HKCU\..\Run: [BirthdayRemember] C:\Programme\BirthdayRemember\BirthdayRemember.exe
O4 - HKCU\..\Run: [BirthdayRemember6] "C:\PROGRAMME\BIRTHDAYREMEMBER\BirthdayRemember.exe" "autostart"
O4 - HKCU\..\RunServices: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe"
O4 - HKCU\..\RunServices: [OnzBirtRem] "C:\THOMAS\#BIRTHDAY REMEMBER\BIRTHDAYREMEMBER.EXE" "los"
O4 - HKCU\..\RunServices: [BirthdayRemember] C:\Programme\BirthdayRemember\BirthdayRemember.exe
O4 - HKCU\..\RunServices: [BirthdayRemember6] "C:\PROGRAMME\BIRTHDAYREMEMBER\BirthdayRemember.exe" "autostart"
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O12 - Plugin for .rs2: C:\PROGRA~1\INTERN~1\PLUGINS\nprs2plg.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.198,85.255.112.12