Trojaner-Board - DR/180Solutions

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - DR/180Solutions (https://www.trojaner-board.de/11477-dr-180solutions.html)

hi!!!
ich weiss, es wurde schon einmal gepostet aber ich habe es nicht verstanden! ich weiss weder was fixen ist noch was hijack ist!!! bitte helft mir! jedes mal wenn ich den pc hochstarte kommt die meldung dass eine datei mit einem dropper oder sowas infiziert ist!!! was soll ich tun? bisher hab ich die betroffenen dateien einfach immer gelöscht aber es kommt immer wieder!!!

HILFEEEE
humi

1.) welche Datei wird als "Dropper" von welchem AV erkannt?
2.) Poste ein HijackThis Logfile
3.) "fixen" heißt mit HijackThis scannen, Haken setzen unf "fix checked" klicken.

jetzt wird gerade folgende datei von AV (AntiVir Guard für Windows XP (2000 + NT) Personal Edition) erkannt:

C:\WINDOWS\JAPEX.EXE.TMP

Enthält Signatur des Droppers DR/180Solutions

hier ist mein hijack ergebnis:

Logfile of HijackThis v1.99.0
Scan saved at 10:41:27, on 01.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\twain_32\SiPix\SCBlink2\Srvany.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\USBPNP.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\PROGRA~2\B'SCLI~1\Win2K\BSCLIP.exe
C:\Programme\NuCam\CamCheck\CamCheck.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
C:\Program Files\Admilli Service\AdmilliServ.exe
C:\temp\salm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Admilli Service\AdmilliKeep.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\SMC\SMC2802W 2.4GHz 54 Mbps Wireless PCI Adapter\Installer\WINXP\SMC11GMonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Helmut\Desktop\Diverses\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~2\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [CamCheck] C:\Programme\NuCam\CamCheck\CamCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Registration-PCTV.lnk = C:\Programme\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: SMC2802W 54Mbps WLAN Monitor.lnk = C:\Programme\SMC\SMC2802W 2.4GHz 54 Mbps Wireless PCI Adapter\Installer\WINXP\SMC11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...bridge-c11.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0406fcd5...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{27F96286-3EC2-4457-99D2-51EE82079288}: NameServer = 195.3.96.67,195.3.96.68
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Blink2PnP - Unknown - C:\WINDOWS\twain_32\SiPix\SCBlink2\Srvany.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

was soll ich mit den infizierten dateien machen? ich lösche sie immer, aber ich glaub das ist nicht gut.

lg humi

@ humilator

Um herauszufinden, ob sich auf Deinem Rechner Malware befindet, kannst Du ihn folgendermaßen überprüfen:

lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst einen neuen Ordner (=Verzeichnis) "c:\bases" (unter C:) erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte das Ergebnis des eScan mit - "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) - oder auf Deutsch: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen die Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

so endlich fertig. gelöscht wurde eigentlich nur diese:

Sat Jan 01 18:19:21 2005 => File C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6HVCH4VA\17kd11fg[1].cab infected by "TrojanDownloader.Win32.Rameh.c" Virus. Action Taken: File Deleted.

hier das resultat:

Total Number of Files Scanned: 95559
Total Number us Virus(es) Found: 21
Total Number of Deleted Files: 1
Total Number of Files Renamed: 0
Total Number of Errors: 0

Time Elapsed: 01:47:25

lg humi

@humilator
hier das resultat:

Total Number of Files Scanned: 95559
Total Number us Virus(es) Found: 21
es sieht fast so aus alsob du noch mehr im system hast,
Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

das war bei mir im virus log:

File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\PROGRA~2\ADMILL~1\ADMILL~2.EXE tagged as not-a-virus:AdWare.WinAD.k. No Action Taken.
File c:\temp\salm.exe tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\AdmilliServX.dll tagged as not-a-virus:AdWare.WinAD.j. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\lsp_.dll tagged as not-a-virus:AdWare.Sahat.f. No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINDOWS\system32\lsp.dll tagged as not-a-virus:AdWare.Sahat.f. No Action Taken.
File C:\Dokumente und Einstellungen\Helmut\Desktop\Diverses\Macromedia Flash\Flash_Video_Exporter.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6HVCH4VA\17kd11fg[1].cab infected by "TrojanDownloader.Win32.Rameh.c" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7VPFFHWW\bridge-c11[1].cab tagged as not-a-virus:AdWare.WinAD.j. No Action Taken.
File C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8PQRCH23\AdmilliServ[1].exe tagged as not-a-virus:AdWare.WinAD.k. No Action Taken.
File C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CTEN012B\AdmilliComm[1].dll tagged as not-a-virus:AdWare.WinAD.k. No Action Taken.
File C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GR73MGHD\AdmilliKeep[1].exe tagged as not-a-virus:AdWare.WinAD.k. No Action Taken.
File C:\Program Files\Admilli Service\AdmilliComm.dll tagged as not-a-virus:AdWare.WinAD.k. No Action Taken.
File C:\Program Files\Admilli Service\AdmilliKeep.exe tagged as not-a-virus:AdWare.WinAD.k. No Action Taken.
File C:\Program Files\Admilli Service\AdmilliServ.exe tagged as not-a-virus:AdWare.WinAD.k. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\SEARCHRELEVANCY.DLL.VIR tagged as not-a-virus:AdWare.Relevance.b. No Action Taken.
File C:\TEMP\sahagent.exe tagged as not-a-virus:AdWare.Sahat.h. No Action Taken.
File C:\TEMP\salm.exe tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\TEMP\salmhook.dll tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\TEMP\SearchRelevancy.exe tagged as not-a-virus:AdWare.Relevance.b. No Action Taken.

bei der suche ist rausgekommen:

Sat Jan 01 17:30:41 2005 => Total Number of Disinfected Files: 0

Sat Jan 01 18:19:21 2005 => File C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6HVCH4VA\17kd11fg[1].cab infected by "TrojanDownloader.Win32.Rameh.c" Virus. Action Taken: File Deleted.

Sat Jan 01 18:34:57 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Sat Jan 01 18:34:57 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SEARCHRELEVANCY.DLL.VIR

Sat Jan 01 18:34:57 2005 => File C:\Programme\AVPersonal\INFECTED\SEARCHRELEVANCY.DLL.VIR tagged as not-a-virus:AdWare.Relevance.b. No Action Taken.

@ humilator

diese Malware-Einträge bitte löschen und die Reihenfolge beachten:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, befallene Datei in die Windows Suche übertragen -> löschen! Nach dem löschen neu (in den normalen Modus) booten und die Systemwiederherstellung wieder aktivieren.

Lade das ClearProg runter und lösche damit den Inhalt dieser Ordner:

File C:\TEMP
File C:\Programme\AVPersonal\INFECTED
File C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temporary Internet Files\Content.IE5

bitte von Hand löschen

File C:\PROGRA~2\ADMILL~1\ADMILL~2.EXE tagged as not-a-virus:AdWare.WinAD.k. No Action Taken.
File C:\Program Files\Admilli Service\AdmilliKeep.exe tagged as not-a-virus:AdWare.WinAD.k. No Action Taken.
File C:\Program Files\Admilli Service\AdmilliComm.dll tagged as not-a-virus:AdWare.WinAD.k. No Action Taken.

--> immer erst die exe löschen, dann die dll.

File C:\Program Files\Admilli Service\AdmilliServ.exe tagged as not-a-virus:AdWare.WinAD.k. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\AdmilliServX.dll tagged as not-a-virus:AdWare.WinAD.j. No Action Taken.

--> immer erst die exe löschen, dann die dll.

File C:\WINDOWS\Downloaded Program Files\lsp_.dll tagged as not-a-virus:AdWare.Sahat.f. No Action Taken.
File C:\WINDOWS\system32\lsp.dll tagged as not-a-virus:AdWare.Sahat.f. No Action Taken.

--> die exe ist im Ordner C:\TEMP, folglich bereits gelöscht, wenn Du die Reihenfolge eingehalten hast.

Die hier nicht aufgeführte "Malware" aus obigem Potsing von Dir muss nicht gelöscht werden. Melde Dich dann wieder an Board.

hi, habe das jetzt gemacht. es waren allerdings nicht alle dateien vorhanden die ich löschen sollte.
aber als ich jetzt den pc gestartet hab ist keine meldung gekommen!!!! glaubst du das ist das ende? wenn ja, dann vielen dank!!!

lang lebe shadowdance :aplaus:

humi

@ humilator

Zitat:

Zitat von humilator

es waren allerdings nicht alle dateien vorhanden die ich löschen sollte.

doch, die sind schon da, Du findest sie nur nicht .. das hatte ich schon befürchtet. Da ich mal wieder mit meiner Weisheit am Ende bin, hoffe ich, dass einer meiner alles wissenden Kollegen an dieser Stelle weitermacht .. ich muss noch viel lernen ... :(

@ humilator

Zunächst einmal ist es kontraproduktiv, wenn du so etwas schreibst:

Zitat:

es waren allerdings nicht alle dateien vorhanden die ich löschen sollte.

Benenne sie und poste die genaue Pfadangabe der Dateien.
Dann kann man mehr dazusagen.;)

wenn ich mich nicht irre haben

File C:\PROGRA~2\ADMILL~1\ADMILL~2.EXE tagged as not-a-virus:AdWare.WinAD.k. No Action Taken.

File C:\WINDOWS\Downloaded Program Files\AdmilliServX.dll tagged as not-a-virus:AdWare.WinAD.j. No Action Taken.

File C:\WINDOWS\Downloaded Program Files\lsp_.dll tagged as not-a-virus:AdWare.Sahat.f. No Action Taken.

gefehlt. aber es kommt jetzt keine virenmeldung mehr.

Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum Ordner C:\WINDOWS\Downloaded Program Files und lösche (markieren -> F8 -> JA) die beanstandeten Dateien.

btw:
Lösche diesen Ordner C:\PROGRA~2\ADMILL~1 komplett

gut, vielen vielen dank, hat geklappt