Downloader.Trojan
 

Hallo,
ich habe ein Problem.
Mein Norton Antivirusprogramm meldet daß ich unter
Windows/system 32/12rt0.dll einen Downloader.Trojan habe.
Das Virenprogramm meldet: Die Datei wurde repariert.
Wenn ich ok drücke kommt die Meldung:
Der Zugriff auf die Datei wurde verweigert.
Wer kann mir helfen?
Ich kriege den Trojaner einfach nicht runter,was auch an meiner Unerfahrenheit in solchen Dingen liegen kann.
Vielen Dank im Voraus für Eure Hilfe.

Poste am besten mal ein HiJckThis Logfile rein.
cacatoa

Hallo habe damit Probleme.
Bin ziemlich unerfahren und der englischen Sprache nicht mächtig.
Es wäre aberschön wenn mir jemanden auf einfachem Wege helfen könnte.
Gruß
roland1949

Hier findest du eine Anleitung dazu:

http://www.trojaner-board.de/51130-a...ijackthis.html

edit:Hm,da steht doch wie es geht.

Geh einfach auf Scan and Save Logfile,dann öffnet sich der Editor,und das alles kopierst du mit rechtsklick,und fügst es hier ein!

@ roland:
Clicke einfach den blau unterlegten Link in meinem letzten Post an. Da kommt eine deutsche Erklärung.
cacatoa

Auf der Seite ist eigentlich alles erklärt, aber bei der neuen Version ist es ja am Anfang etwas anders:
Klick bei dem Anfangsbildschirm (siehe Anhang) auf "Do a system scan and save a logfile". Dann die HijackThis.log öffnen und Inhalt hier einfügen

ansonsten solltest du mal versuchen im abgesicherten modus zu starten und im abgesicherten modus zu scannen

ich hoffe es ist so ok.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\0190 Warner\w0svc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\QuickDsk\QuickDsk.exe
D:\Corel\Graphics8\Programs\MFIndexer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Roland\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.t-online.de/BTO/index.html
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\System32\tcfB188.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [0190 Warner] F:\ROLAND\PROGRA~2\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Omnipage] D:\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Eumex 404PC] G:\SETUP.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [QuickDesk] "D:\QuickDsk\QuickDsk.exe"
O4 - Startup: Ereigniserinnerung.lnk = D:\pmw\PMREMIND.EXE
O4 - Startup: Hardcopy.LNK = ?
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = D:\Corel\Graphics8\Programs\MFIndexer.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{95596FFA-1252-4AA3-AC24-41EB334E1EB2}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - D:\0190 Warner\w0svc.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Nein,das ist kein komplettes Logfile,es fehlen immer noch wesentliche Angaben über dein System..

@shitzo
Diesen Rat habe ich schon versucht.
Der Trojaner leß sich aber auch im abgesicherten Modus nicht entfernen.

Hallo, Roland,
diese Datei:
C:\WINDOWS\System32\tcfB188.dll
bitte mal online bei jotti scannen lassen. Dazu bei jotti auf "durchsuchen" clicken, wenn die Datei gefunden ist, auf "submit" cllicken.
Damit alle Dateien angezeigt werden gehst du: Linke Maustaste Arbeitsplatz, Extras, Ordneroptionen, Ansicht, hier: Häkchen bei: alle Dateien und Ordner anzeigen, Häkchen weg bei: geschützte Systemdateien ausblenden.
Das Ergebnis (11 Zeilen) dann hier reinkopieren.
Außerdem solltest Du mit HIJackThis folgendes fixen: (Nach dem scan auf "fix checked" clicken:
R3 - Default URLSearchHook is missing
cacatoa

@cacatoa
ist es so ok ?

Logfile of HijackThis v1.99.0
Scan saved at 16:12:39, on 09.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\0190 Warner\w0svc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\QuickDsk\QuickDsk.exe
D:\Corel\Graphics8\Programs\MFIndexer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Eigene Dateien\04\HijackThis.exe
E:\Eigene Dateien\03\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.t-online.de/BTO/index.html
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\System32\tcfB188.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [0190 Warner] F:\ROLAND\PROGRA~2\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Omnipage] D:\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Eumex 404PC] G:\SETUP.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [QuickDesk] "D:\QuickDsk\QuickDsk.exe"
O4 - Startup: Ereigniserinnerung.lnk = D:\pmw\PMREMIND.EXE
O4 - Startup: Hardcopy.LNK = ?
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = D:\Corel\Graphics8\Programs\MFIndexer.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{95596FFA-1252-4AA3-AC24-41EB334E1EB2}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - D:\0190 Warner\w0svc.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

sorry, Roland, noch nicht ganz;
Was ich Dir zum "fixen" gesagt habe, bedarf einer Ergänzung:
Fixen bitte im abgesicherten Modus.
Was war mit dem Jotti-Ergebnis?
cacatoa

@cacatoa
Ich schaffe es nicht !
Beim Versuch hat sich mein Computer zum wiederholten Mal aufgehängt.
Bei jedem Neustart kommt die bekannte Fehlermeldung von
Norton Antivirus.
Wahrscheinlich bin ich zu blöd Eure Tips zu befolgen.
Wollen wir es nochmals versuchen?
Ich hätte den Trojaner nähmlich gerne los.

Gruß Roland

Roland, keine Panik.
Starte Dein System neu und drücke mehrfach, ganz oft, immer wieder die F8 Taste. Sollte dich das System fragen, von welchem Medium es starten soll (CD, Laufwerk A oder von Platte, dann bewegst Du dich mit den Pfeiltasten auf Festplatte, drückst enter und glich wieder auf F8, bis der schwarze Bildschirm kommt mit der Auswahl des Startmodus.
Das schaffen wir schon.
cacatoa

@cacatoa
Habe mit mit HiJackThis gefixt und nach scan im abgesicherten Modus auf fix checked gedrückt.
Das mit R3-Default URLSearchHook is missing versehe ich nicht.
sorry
roland

Hallo Roland,
hier versteckt sich die antwort auf Deine Frage.
Aber meine Frage ist noch immer: Was ergab der scan bei Jotti?
Außerdem bitte neues Logfile posten (Nicht im abgesicherten Modus erstellen)
cacatoa

@ roland:
bitte auch folgendes machen:
Systemwiederherstellung deaktivieren (rechte Maustaste Arbeitsplatz, Eigenschaften, registerkarte Systemwiederherstellung, auf allen Laufwerken deaktivieren)
Dann Rechner ausschalten.
Neu booten (ganz normal), dann auf dieselbe Art wie oben, die Systemwiederherstellung wieder aktivieren.
Dann schaun wir mal, ob die Meldung noch kommt.
cacatoa

Hallo,
inzwischen habe ich einiges probiert bin aber den DOWNLOADER.TROJAN
nicht losgeworden. Die meisten Programme erkennen den Virus können ihn
aber nicht entfernen.
Weis jemand noch einen Rat was ich probieren sollte, bin ziemlich unerfahren
in solchen Dingen.
Wer hatte schon mal ähnliche Probleme und kennt eine Lösug für mein Problem.
Ich bin dankbar für jede Hilfe.
Was kann der Trojaner eigentlich alles auf meinem Computer ausspionieren
und muß ich dazu online sein ?
Gruß
Roland

Roland, Du mußt schon erst mal das machen, was ich Dir sage.
Mir fehlt immer noch die Auswertung von Jotti.
Dann mußt du mal den Quarantäne-Ordner von Norton leeren. (Reports, quarantined Items, wieder auf quarantined items, die Einträge anclicken und oben auf delete clicken).
Du schreibst, Du hast einiges probiert; bitte etwas genauer: Was hast du probiert?
cacatoa

@cacatoa
zurest einmal vielen Dank, daß Du Dir mit mir so viel Mühe machst.
Das mit Jotti pack ich nicht ich finde keine 11 Zeilen am Schluß wie Du schreibst. Wahrscheinlich bin ich zu unerfahren.
Könntet Du mir eine Schritt für Schritt Anleitung geben.
Ansonsten habe ich mir einige Programme die hier auf diesen Seiten angeboten werden runtergeladen.
Am erfolgversprechensten war:AntiVir XP.
Dieses Programm erkannte einen Trojaner und löschte ihn.
Aber daraufhin hat Norton weiterhin gemeldet:
DOWNLOADER.TROJAN
Windows/System32/12rt=.dll
Gruß
Roland

@ roland:
Jotti aufrufen. Wenn die Seite da ist: auf "Durchsuchen" clicken. Damit suchst Du in Deinen Verzeichnissen, bis Du die Datei gefunden hast (z.B. C:\Windows/System32/12rt=.dll). Wenn Du die Datei gefunden hast, dann clicke wieder ganz oben auf Jottis Seite auf "submit". Dann beginnt der scan zu laufen (geht sehr schnell).
Dann auf Jottis Seite nach unten gehen bis der kleingeschriebene Text aufhört, dann kommen 10 Zeilen in einem Rahmen, die so aussehen:
AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.54 seconds taken)
Diese Zeilen kopierst Du hier rein.
Du mußt das mit jeder Datei einzeln machen. Öffne Dir ein zweites Browserfenster, damit Du zwischen Jotti und Trojaner-Board hin- und herspringen kannst zum Kopieren.
Danach bitte neues Logfile posten; dann schauen wir weiter. Wenn du nicht weiterkommst, fragen!
cacatoa

Hallo,
leider komme ich erst jetzt dazu zu antworten.
Muß auch noch arbeiten zwischendurch.
Ich werde noch verrückt wenn ich den Trojaner nicht los werde.
@cacatoa
Habe Deine Anweisungen befolgt aber nach dem Klick auf "submit" bei Jotti
kommt immer folgender Text:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Leider kann ich 0 englisch
Wie soll ich weitermaachen?
Gruß
Roland

@cacatoa

ich glaub jetzt hat es geklappt:

AntiVir X 0.18 seconds
Avast X 1.51 seconds
BitDefender X 0.45 seconds
ClamAV Trojan.Downloader.Dlex-4 0.41 seconds
Dr.Web X 0.57 seconds
F-Prot Antivirus X 0.31 seconds
Kaspersky Anti-Virus X 0.73 seconds
mks_vir Win32 0.48 seconds
NOD32 X 1.20 seconds
Norman Virus Control X 4.78 seconds

Nee, hat noch nicht ganz geklappt.
Du mußt erst auf "Durchsuchen gehen, bis die gesuchte Datei im großen Fenster (alphabetisch soritert) erscheint. Dann die Datei anclicken. Dann verschwindet das große Fenster und die Datei erscheint bei Jotti in dem kleinen Fenster bei "Durchsuchen". Dann clickst Du auf "submit". Wenn fertig, dann wie unten beschrieben verfahren.
cacatoa
P.S. Das wird schon... ;)

Hallo Cacatoa,
ich habe jetzt beschlossen, daß ich bis zum Wochenende abwarte.
Dann kommt mein Neffe zu Besuch der mich hoffentlich unterstützen wird.
Alleine vor Ort komme ich nicht klar.
Wir schauen ob Du online bist und nehmen Kontakt mit Dir auf.
Ist das von Deiner Seite aus so ok ?
Gruß
Roland

@ roland1949

überprüfe die Datei mit dem online-scan von Kaspersky:

C:\WINDOWS\System32\tcfB188.dll

und teile uns das Ergebnis mit, falls es Dir damit gelingt.

@ cacatoa
Hallo ich glaube ich habe den Trojaner los!
Mit Hilfe des Programms
Amok DelayDel
lies sich die verseuchte Datei problemlos löschen.
Wars das nun?
Norton AntiVirus erkennt nichts mehr.
Danke für Deine Hilfe.
Frage: Kann man irgendwie die Macher dieser Seiten unterstützen ?
(Spende o.ä.)
Ich würde mich gerne erkenntlich zeigen.
Gruß Roland

Hallo, roland!
Habe in einem Deiner letzten Posts etwas übersehen.... :headbang:
Du hast es richtig gemacht!
Du kannst noch ein HJT-Logfile zur letzten Überprüfung schicken!
Grüße
cacatoa