Trojaner-Board - Photo loader resident

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Photo loader resident - was nun? (https://www.trojaner-board.de/30040-photo-loader-resident.html)

Photo loader resident - was nun?

Hallo,

ich hab mich schon ein wenig durchgelesen und denke, dass ich mir ebenfalls etwas eingefangen habe.

Folgende Probleme bestehen: langsamer Seitenaufbau, IE meldet sich alleine ab, photo loader resident.

Meine Frage: Ich bin Laie. Soll ich dennoch versuchen, mit eurer Hilfe das Problem zu beseitigen?

Was muß ich z.B. bei Hijackthis als Lof-File eingeben- irgendetwas oder eine bestimmte Adresse?

Da ich niemand kenne, der mir helfen kann, finde ich es prima, wenn ihr es tun würdet? Verstehe aber, wenn ihr mir als Laie das Prozedere nicht empfehlen würdet. Wohin kann ich mich dann wenden?

Viele sonnige Grüße

Hallo 4schwaben,
klicke auf diesen Link :
http://www.trojaner-board.de/showthread.php?t=17493
Darin wirst du die Erklärung für Hijack finden und auch den Download dazu.Lese die Anleitung,nötigenfalls zweimal :daumenhoc
Unter den farbig abgesetzten Wörtern verstecken sich weiterführende Link`s und Download`s.Fahre mit der Maus ab.
Irrlicht

Hallo,

hier ist meine Auswertung:

Logfile of HijackThis v1.99.1
Scan saved at 10:54:50, on 19.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\dcfssvc.exe
C:\WINNT\system32\svchost.exe
C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\sistray.EXE
C:\WINNT\htpatch.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINNT\system32\internat.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINNT\NCLAUNCH.EXe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\PROGRA~1\HEWLET~1\HPPSC7~1\bin\hpoevm07.exe
C:\WINNT\system32\hpoipm07.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Hewlett-Packard\hp psc 700 series\bin\HPOSTS07.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ps\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.xpsearch.to/?m=abc&t=&u=http:%2F%2Fwww.weight-watchers.de%2F&x=5ADFCC92-087B-4232-8E39-12EB227D5375
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O1 - Hosts: 191.1.1.101 s******260d
O1 - Hosts: 69.64.35.177 auto.search.msn.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9166A0C1-9168-42E0-BF76-2CB07C61520B} - C:\WINNT\system32\initpkid.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\system32\khooker.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: HPAiODevice.lnk = C:\Programme\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/16b9691ba76dae86aa06/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139333277110
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.de/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = S*****.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = S*****.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = S*****.local
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINNT\system32\drivers\dcfssvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ptssvc - KODAK - C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe

Bitte nehmt bei den Antworten Rücksicht auf einen Fast-laien. Etwas kenne ich mich aus, sonst hätte ich nicht gepostet, aber mit den Fachbegriffen hab ich es nicht so.

Schon mal vielen Dank.

Sorry, doppelt gepostet

Lass diese Datei mal hier und hier prüfen:

Zitat:

C:\WINNT\system32\initpkid.dll

Fixe diesen Eintrag mit HiJackTHis (Haken setzen und auf "Fix Checked" klicken):

Zitat:

O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab

Poste die ergebnisse von Jotti und Virustotal.

mfg,
Markus

Hier die Ergebnisse:

STATUS: FINISHEDComplete scanning result of "initpkid.dll", received in VirusTotal at 06.19.2006, 13:41:23 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.13 06.19.2006 TR/Dldr.Agent.UN
Authentium 4.93.8 06.16.2006 W32/Downloader.SVR
Avast 4.7.844.0 06.19.2006 Win32:Trojan-gen. {Other}
AVG 386 06.16.2006 Downloader.Agent.13.AB
BitDefender 7.2 06.19.2006 Trojan.Downloader.Agent.UN
CAT-QuickHeal 8.00 06.17.2006 no virus found
ClamAV devel-20060426 06.18.2006 Trojan.Downloader.Agent-171
DrWeb 4.33 06.19.2006 Trojan.DownLoader.7386
eTrust-InoculateIT 23.72.42 06.18.2006 no virus found
eTrust-Vet 12.6.2263 06.19.2006 no virus found
Ewido 3.5 06.19.2006 Downloader.Agent.un
Fortinet 2.77.0.0 06.18.2006 W32/Agent.UN!tr
F-Prot 3.16f 06.17.2006 security risk named W32/Downloader.SVR
Ikarus 0.2.65.0 06.19.2006 Trojan-Downloader.Win32.Agent.UN
Kaspersky 4.0.2.24 06.19.2006 Trojan-Downloader.Win32.Agent.un
McAfee 4786 06.16.2006 Generic Downloader.h
Microsoft 1.1441 06.19.2006 no virus found
NOD32v2 1.1607 06.19.2006 a variant of Win32/TrojanDownloader.Agent.UN
Norman 5.90.21 06.16.2006 W32/Agent.ITH
Panda 9.0.0.4 06.18.2006 Trj/Downloader.DYX
Sophos 4.06.0 06.19.2006 Troj/Agent-ES
Symantec 8.0 06.19.2006 Trojan Horse
TheHacker 5.9.8.162 06.19.2006 Trojan/Downloader.Agent.un
UNA 1.83 06.19.2006 TrojanDownloader.Win32.Agent
VBA32 3.11.0 06.18.2006 suspected of Trojan-Downloader.Agent.49
VirusBuster 4.3.7:9 06.18.2006 no virus found

Aditional Information
File size: 33935 bytes
MD5: b8e2298b79065dc82292379d818e8ccb
SHA1: d3612ab4f8d671cc425cda24902c75888067e004

Sowie

Datei: initpkid.dll_
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Trojan/Dldr.Agent.UN gefunden
ArcaVir Trojan.Downloader.Agent.Un gefunden
Avast Win32:Trojan-gen. {Other} gefunden
AVG Antivirus Downloader.Agent.13.AB gefunden
BitDefender Trojan.Downloader.Agent.UN gefunden
ClamAV Trojan.Downloader.Agent-171 gefunden
Dr.Web Trojan.DownLoader.7386 gefunden
F-Prot Antivirus W32/Downloader.SVR gefunden
Fortinet W32/Agent.UN!tr gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.un gefunden
NOD32 a variant of Win32/TrojanDownloader.Agent.UN gefunden
Norman Virus Control W32/Agent.ITH gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan-Downloader.Agent.49 gefunden (mögliche Variante)

Das Häckchen habe ich auch gesetzt und "gefixt"- oder heißt es in der Fachsprache anders?

Danke schon mal

Hallo,

ich bin auf eure Hilfe angewiesen. Bitte überprüft meine Auswertungen bei Jotti und Virustotal. Vielen Dank.

Also, das hier ist der Trojaner der sich in dein System eingenistet hat.

Sophos beschreibt seine Schadfunktion nur mit:

Zitat:

Lädt Code aus dem Internet herunter

Also handelt es sich um einen Backdoor, oder auch noch mehr. Diese "Eigenschaft" ermöglicht es dem Backdoor, sich selbst zu Updaten, oder weiter Schad-Software zu downloaden.

Da er Zugriff aufs Internet hat/te, ist eine Bereinigung sinnlos, da dein System evtl. bereits kompromittiert wurde.

Ich empfehle dir dein System neu Aufzusetzen. Eine Anleitung zur Neuinstallation, die evtl. zukünftigen Infektionen vorbeugen kann findest du in meiner Signatur.

Gerne auch sende ich dir einige Links zu, die "Backdoors" etwas detailierter protokollieren. Spätestens nachdem du dein Wissen damit ergänzt hast, wirst du feststellen, dass ich dir den richtigen Rat gegeben habe :daumenhoc

mfg,
Markus

Hallo Markus,
danke für deine Hilfe. Ich werd´mich in meinem Bekanntenkreis umhören, wer mir dabei helfen kann.

Wie kann ich solche Probleme künftig vermeiden?

Gruß Petra

Hallo 4schwaben,

Zitat:

Wie kann ich solche Probleme künftig vermeiden?

In dem du deinen Compi so einstellst wie dir in diesem Link es vorgemacht wird :
http://www.trojaner-board.de/showthread.php?t=12154

Desweiteren mußt du deinen Verstand gebrauchen und mißtrauisch sein..:)
Mal ein Beispiel...
Auf der Straße spricht dich jemand an und sagt :"wenn du mir deine Adresse nennst,schenke ich dir einen Bazen Gold".Dabei hält er dir eine Plastiktüte mit der Aufschrift "reines Gold" vor die Nase.
Was tust du ?:D
Was du im normalen Leben nicht tun würdest,solltest du auch im Netz nicht tun.
Ist eine einfache Regel,die zugegebenermaßen schwer umzusetzen ist..
Wie bei allem das man lernt ,ist ab und an "Lehrgeld" fällig....;)
Dann kommst du hier her und wir sehen zu das die "Zahlung" nicht zu deftig wird...:lach:
Irrlicht

Hallo,
dank fachmännischer Hilfe habe ich heute das Problem -hoffentlich- in Griff bekommen. Wir haben es mal ohne Neuaaufsetzen probiert.

Vielen herzlichen Dank an alle- und künftig bin ich vorsichtiger.

Gruß Petra

Das Problem hast du nicht gelöst, das kann ich dir schriftlich geben :kloppen:

Virenschreiber nutzen das " falsche Allgemeinwissen", also das gute Gefühl der Benutzer aus, welches sie dazu veranlasst nur die infizierte Datei zu entfernen. Eigentlich aber ist dein System schon kompromittiert, sprich es wurde verändert, manipuliert.

Ich denke wir sehen uns so bald wieder. Fachmännische Hilfe hast du von uns bekommen, nicht vom vermeintlichen "Fachmann", der das Problem augenscheinlich gelöst hat.

mfg,
Markus