Habe großes Problem mit Troj/Dloader-MK

#1 Hallo an Alle !

Habe großes Problem mit Troj/Dloader-MK, mit dem mein PC infiziert ist(You computer might be a risk...balloon wav...).
Was kann ich tun um den Trojaner loszuwerden ? (win 98 SE)

Vielen Dank im voraus.

Schöne Grüße,
Magdalene






Logfile of HijackThis v1.99.1
Scan saved at 14:24:33, on 31.08.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\HFP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\#DOWNLOADS#\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [hfprog] hfp.exe
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe"
O4 - HKCU\..\Run: [OnzBirtRem] "C:\THOMAS\#BIRTHDAY REMEMBER\BIRTHDAYREMEMBER.EXE" "los"
O4 - HKCU\..\Run: [BirthdayRemember] C:\Programme\BirthdayRemember\BirthdayRemember.exe
O4 - HKCU\..\Run: [BirthdayRemember6] "C:\PROGRAMME\BIRTHDAYREMEMBER\BirthdayRemember.exe" "autostart"
O4 - HKCU\..\RunServices: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe"
O4 - HKCU\..\RunServices: [OnzBirtRem] "C:\THOMAS\#BIRTHDAY REMEMBER\BIRTHDAYREMEMBER.EXE" "los"
O4 - HKCU\..\RunServices: [BirthdayRemember] C:\Programme\BirthdayRemember\BirthdayRemember.exe
O4 - HKCU\..\RunServices: [BirthdayRemember6] "C:\PROGRAMME\BIRTHDAYREMEMBER\BirthdayRemember.exe" "autostart"
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O12 - Plugin for .rs2: C:\PROGRA~1\INTERN~1\PLUGINS\nprs2plg.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.198,85.255.112.12

#2 1.
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)

mit HijackThis fixen.

2.
Und außerdem bitte folgende Datein auf einer dieser Seiten Scannen lassen:
http://virusscan.jotti.org/de/
http://www.virustotal.com/flash/index_en.html

Datein:

Zitat

C:\WINDOWS\SYSTEM\HFP.EXE
C:\THOMAS\#BIRTHDAY REMEMBER\BIRTHDAYREMEMBER.EXE

Kennst du diese Ip-Adressen:
69.50.176.198
85.255.112.12

Achso noch was: Es finden sich in deinem Logfile weder Hinweise auf einen Virenscanner noch auf eine Firewall. Außerdem solltest du den IE 6 installieren und am besten (fast) nie verwenden. Ob dein Windows aktuell ist, ist leider nicht zu erkennen.

#3 http://www.kaspersky.com/de/removaltools

#4 Hallo@Maggi2005

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
*entpacken
*Doppelklick (Ausführen)-- rkfiles.bat -- im dos-Fenster steht : angegebener Pfad nicht gefunden ! checking the folder -- warten bis sich das DOS-Fenster schliesst (auch wenn es sehr lange dauert) --- poste C:\log.txt

FindT
http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip
in C:\ entpacken -- öffne "FindT" folder -- klicke (runthis.bat) -- poste die txt (Textdatei) in den Thread



__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo !

Vielen Dank an Alle !!

Habe folgende Einträge :
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)

mit HijackThis gefixt und hoffentlich endlich Ruhe vor Troj/Dloader-MK.

Kann Ich die folgenden IP-Adressen auch irgendwie Löschen ??

69.50.176.198
85.255.112.12

mfg
Maggi2005

#6 Hallo@Maggi2005

http://virus-protect.org/Artikel/spyware/Security_Center.html

ich brauche Infos ueber dein System .....sonst ist der Wareout-Hijacker weiterhin auf dem PC und die IP-Adresse verstellt.


Bitte führe folgendes aus:
Erstelle auf dem Desktop eine Datei findit.bat. Rechte Maustaste - Bearbeiten
Dort fügst Du ein und speicherst:

@echo off
cd\
cd %windir%\system
dir /a:-d /o:-d > %systemdrive%\system.txt
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\win.txt
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
exit


Ausführen!
Im Verzeichnis C:\ liegen nun vier Text-Dateien. Die öffnest Du bitte und kopierst alle Einträge der letzten 2 Wochen hier

+
Silentrunner
http://virus-protect.org/silentrunner.html
+
FindT
http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip
in C:\ entpacken -- öffne "FindT" folder -- klicke (runthis.bat) -- poste die txt (Textdatei) in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina !

Leider erhalte ich beim Download von Silent-Runner kein Programm-Symbol(im Win-Zip-Fenster(Win-Zip7)und nach dem Extrahieren), obwohl ich vbs-6 auf dem pc habe. Das Programm
startet also nicht.
Auch bei find-T sieht es nicht gut aus. Hat auch nicht geklappt (In dieser Anwendung ist ein unzulässiger Speicherseitenzugriff..).

Alles andere :

Datentr„ger in Laufwerk C: 80-01-05
Seriennummer des Datentr„gers: 1B35-11D6
Verzeichnis von C:\

SYSTEM TXT 82.357 03.09.05 16:18 system.txt
SYSTEM~1 TXT 616 03.09.05 16:18 systemtemp.txt
WIN TXT 20.245 03.09.05 16:18 win.txt
SYS TXT 0 03.09.05 16:18 sys.txt
CONFIG SYS 1.103 02.09.05 14:26 Config.sys
SCANDISK LOG 579 28.08.05 17:41 SCANDISK.LOG
COMMAND PIF 967 24.08.05 6:56 COMMAND.PIF
BLACKL~1 LOG 0 22.08.05 11:22 blacklist.log

xxxxxxxxxxxxxxxxxxxxxxxxxxx

Datentr„ger in Laufwerk C: 80-01-05
Seriennummer des Datentr„gers: 1B35-11D6
Verzeichnis von C:\WINDOWS\SYSTEM

HCLEAN32 EXE 4.096 03.09.05 11:53 hclean32.exe
RDSNDIN EXE 4.608 03.09.05 11:53 rdsndin.exe
NTFSNLPA EXE 45.568 03.09.05 11:53 ntfsnlpa.exe
LOADCT~1 EXE 643.446 11.08.05 6:19 loadctr32.exe
CSPIJ EXE 54.792 11.08.05 6:13 cspij.exe


xxxxxxxxxxxxxxxxxxxxxxxxxxx

Datentr„ger in Laufwerk C: 80-01-05
Seriennummer des Datentr„gers: 1B35-11D6
Verzeichnis von C:\WINDOWS\TEMP

~WRD0000 DOC 1.437 03.09.05 16:11 ~WRD0000.doc
~DFFE1F TMP 0 03.09.05 16:10 ~DFFE1F.TMP
~DFF2D2 TMP 0 03.09.05 16:10 ~DFF2D2.TMP
~5183 TMP 0 03.09.05 15:37 ~5183.TMP
~5184 TMP 0 03.09.05 15:37 ~5184.TMP
~32E4 TMP 0 03.09.05 15:35 ~32E4.TMP
~32F2 TMP 0 03.09.05 15:35 ~32F2.TMP
7 Datei(en) 1.437 Bytes

xxxxxxxxxxxxxxxxxxxxxxxxxxxxx

atentr„ger in Laufwerk C: 80-01-05
Seriennummer des Datentr„gers: 1B35-11D6
Verzeichnis von C:\WINDOWS

WIN386 SWP 75.497.472 03.09.05 16:18 WIN386.SWP
USER DAT 1.044.512 03.09.05 16:16 USER.DAT
SYSTEM DAT 6.938.656 03.09.05 16:15 SYSTEM.DAT
ROCKWE~1 LOG 1.043 03.09.05 16:11 Rockwell RC56D2 Seri*hier nicht!* PnP, V.90,K56Flex,Voice,Speakerphone.log
STANDARD PWL 1.448 03.09.05 16:11 STANDARD.PWL
STI_TR~1 LOG 725.212 03.09.05 15:37 Sti_Trace.log
SYSTEM INI 2.511 03.09.05 15:36 SYSTEM.INI
WAVEMIX INI 54 03.09.05 15:36 WAVEMIX.INI
POWERPNT INI 60 03.09.05 15:36 POWERPNT.INI
NDISLOG TXT 0 03.09.05 15:36 NDISLOG.TXT
HH DAT 10.042 02.09.05 14:27 hh.dat
TWAIN001 MTX 5 01.09.05 13:54 Twain001.Mtx
WININIT BAK 44 31.08.05 22:07 WININIT.BAK
MSIMGSIZ DAT 16.384 28.08.05 16:53 MSIMGSIZ.DAT
TMPDELIS BAT 122 22.08.05 9:19 tmpdelis.bat
FSAV MIF 2.509 22.08.05 9:15 FSAV.MIF
TWAIN LOG 628 17.08.05 11:35 TWAIN.LOG


xxxxxxxxxxxxxx

Vielen Dank erstmal ! Melde mich morgen wieder.

Schöne Grüße
Maggi

#8 Hallo@Maggi2005

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\SYSTEM\hclean32.exe
C:\WINDOWS\SYSTEM\rdsndin.exe
C:\WINDOWS\SYSTEM\ntfsnlpa.exe
C:\WINDOWS\SYSTEM\loadctr32.exe
C:\WINDOWS\SYSTEM\cspij.exe

PC neustarten

Onlinevirenscan (Kaspersky und panda)--> dann berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina !

Ich habe die Dateien mit Killbox gelöscht und einen Online-Scan mit Kapersky gemacht.
Der Scan mit Panda hat leider nicht funktioniert.
Hier das Scan Ergebnis von Kapersky :

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, September 04, 2005 17:38:11
Operating System: Microsoft Windows 98 SE
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 4/09/2005
Kaspersky Anti-Virus database records: 138832
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
c:\windows\TEMP\

Scan Statistics:
Total number of scanned objects: 6990
Number of viruses found: 2
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 1574 sec

Infected Object Name - Virus Name
C:\WINDOWS\SYSTEM\msasmc18.dll Infected: Trojan.Win32.WebSearch.d
C:\WINDOWS\SYSTEM\cdimgdev.dll Infected: Trojan-Downloader.Win32.Zlob.e

Scan process completed.



xxxxxx p.s. Problem besteht noch.

mfg
Maggi

#10 loesche mit der Killbox:

C:\WINDOWS\SYSTEM\msasmc18.dll
C:\WINDOWS\SYSTEM\cdimgdev.dll
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina !

Habe C:\WINDOWS\SYSTEM\msasmc18.dll
C:\WINDOWS\SYSTEM\cdimgdev.dll
mit Killbox gelöscht !

Doch leider besteht das Problem noch.

Vielen Dank für Deine bisherige Hilfe ! Vieleicht fällt Dir noch was ein ?

mfg
Maggi

#12 Mach ein Start-up list mit hilfe von Hijack This und kopiere es ins Forum
http://virus-protect.org/hijackthis.html#Wie_Sie_eine_Autostart_Aufstellung_erstellen
__________
MfG Argus

#13 ich habe etwas uebersehen ....entschuldige

--> rechtsklick--> poste mir den Inhalt der Datein

C:\Windows\Tmpdelis.bat
C:\WINDOWS\WININIT.BAK

oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern (dann erscheint eine wareout.reg auf dem Desktop)
http://virus-protect.org/reg/wareout.reg
Die Datei "wareout.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\RunServices: [hfprog] hfp.exe
O4 - HKCU\..\Run: [OnzBirtRem] "C:\THOMAS\#BIRTHDAY REMEMBER\BIRTHDAYREMEMBER.EXE" "los"
O4 - HKCU\..\Run: [BirthdayRemember] C:\Programme\BirthdayRemember\BirthdayRemember.exe
O4 - HKCU\..\Run: [BirthdayRemember6] "C:\PROGRAMME\BIRTHDAYREMEMBER\BirthdayRemember.exe" "autostart"
O4 - HKCU\..\RunServices: [OnzBirtRem] "C:\THOMAS\#BIRTHDAY REMEMBER\BIRTHDAYREMEMBER.EXE" "los"
O4 - HKCU\..\RunServices: [BirthdayRemember] C:\Programme\BirthdayRemember\BirthdayRemember.exe
O4 - HKCU\..\RunServices: [BirthdayRemember6] "C:\PROGRAMME\BIRTHDAYREMEMBER\BirthdayRemember.exe" "autostart"
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.198,85.255.112.12

PC neustarten

suche/loesche:
C:\WINDOWS\SYSTEM\HFP.EXE

Wareout Remover
http://forum.hijackthis.de/showthread.php?t=7597

1.
Downloade den Remover (angehängt)entpacke und speichere ihn auf deinem Desktop
2.
Downloade (wenn nicht schon passiert) die neueste Hijackthis Version und entpacke sie in ihren eigene Ordner
3.
starte keine anderen Programme, kein Internet Explorer oder ähnliches
4.
Starte den wareout_remover.exe, drücke install, warte (explorer fenster verschwindet kurz)

Setze die DNS Server Einstellungen zurück, ambesten mit Hijackthis und setze anschliessend deine urspünglichen IP Adressen (bei Problemen VORHER deinen Supporter fragen)
69.50.176.198,85.255.112.12

silentrunner (poste alles)
http://virus-protect.org/silentrunner.html

----------
Info: ist fuer mich
http://wilderssecurity.com/showthread.php?p=256253#post256253
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina !

Hfp.-exe ist von der Firma Spydex (http://www.spydex.com/). Das Programm heißt Hide Files. Ich habe mir das
Programm von einer PC-Zeitschrift CD installiert.

Schöne Grüße
Maggi

#15 diese Seite werde ich mal mit anderen Kollegen hier genauer unter die Lupe nehmen
du fixt erst einmal alles, was ich geschrieben habe und deinstallierst das Tool, o.k. ?

dann arbeite den Rest ab
__________
MfG Sabina

rund um die PC-Sicherheit