Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: CAB-Datei & "Krepper.3": Trojaner entfernbar?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.01.2005, 13:58   #1
Susan27
 
CAB-Datei & "Krepper.3": Trojaner entfernbar? - Standard

CAB-Datei & "Krepper.3": Trojaner entfernbar?



Hi,

gestern habe ich mir leider den Trojaner/Wurm "Krepper.3" durch einen unbedarften Klick auf einer I-Net Seite eingefangen. Daraufhin habe habe ich dann diverse Spybots und Trojanerkiller rüberlaufen lassen mit dem Ergebnis, dass schließlich das Programm AntiVir angezeigt hat, dass sich der Wurm "Krepper.3" in einer Cab.Datei (localNrd.cab) befindet! Hier der Log-File Auszug:

"C:\WINNT\Temp\THI737B.tmp
localNrd.cab
ArchiveType: CAB (Microsoft)
--> polall1l.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Krepper.3"

Leider konnte AntiVir nur den Wurm anzeigen aber nicht beseitigen, weil dies angeblich nicht bei innerhalb von Cab-Dateien vorhandenen "Störenfrieden"
ginge.

1) Könnt Ihr mir sagen, ob das so stimmt? Oder gibt es doch eine Möglichkeit, Trojaner/Würmer aus Cab-Dateien wieder zu entfernen?

2) Könnt Ihr mir sagen, was für Schadensroutinen "Krepper.3" genau hat? Bislang konnte ich nichts "merkwürdiges" entdecken.

Vielen lieben dank für Eure Hilfe!

Viele Grüße
Susan

Alt 24.01.2005, 14:22   #2
Focus
 
CAB-Datei & "Krepper.3": Trojaner entfernbar? - Standard

CAB-Datei & "Krepper.3": Trojaner entfernbar?



TR/Dldr.Krepper.3 lädt Code aus dem Netz, installiert sich in der Registry. Folge: schädlicher Einfluss auf den IE, pop-ups, Links ect.

Temporäre Ordner leeren:
Zitat:
Clear Prog downloaden. Häkchen bei "Clear all" setzen, auf "Clear" klicken.
Hijack This v1.99.0
Zitat:
1. Neuen Ordner "HijackThis" auf "c:\" erstellen: C:\Programm\HijackThis
2. Direct download Hijack This.
3. Mit Zip-Programm in neuen Ordner entpacken: Anleitung
4. HJT Logfile erstellen und posten.
__________________

__________________

Alt 24.01.2005, 14:39   #3
Susan27
 
CAB-Datei & "Krepper.3": Trojaner entfernbar? - Standard

CAB-Datei & "Krepper.3": Trojaner entfernbar?



Hi Focus,

ok..hier die mit HijackThis erstellte Log-Datei:

Logfile of HijackThis v1.99.0
Scan saved at 14:31:58, on 24.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\SLEE401.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\WINNT\System32\rmctrl.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\OE-QuoteFix\oequotefix.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.t-online.de/software/ie401/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.t-online.de/service/redir/tosw4_start.htm
R3 - Default URLSearchHook is missing
N3 - Netscape 7: user_pref("browser.startup.homepage", ""); (C:\Documents and Settings\Administrator\Application Data\Mozilla\Profiles\default\wpcs5fbt.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%206%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Administrator\Application Data\Mozilla\Profiles\default\wpcs5fbt.slt\prefs.js)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MyLogoHelper - {EA4587EB-3106-448a-8B31-F1572E981765} - C:\PROGRA~1\EDENSO~1\MyLogo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\trash.exe (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.t-online.de
O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - hxxp://64.124.45.181/downloads/ccpm_0237.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - hxxp://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {7CF052DE-C74F-421B-B04A-3B3037EF5887} (CCMPGui Class) - hxxp://64.124.45.181/chaincast/proxy/CCMP.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} - hxxp://www.live365.com/players/play365.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - hxxp://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{96B9A3F6-444F-4C27-A047-6EFBE871945E}: NameServer = 217.237.151.33 217.237.149.225
O18 - Filter: text/html - {FE5B95A4-166F-4FDA-B926-C0B9F6E668FB} - C:\Documents and Settings\Administrator\Local Settings\Application Data\microsoft\internet explorer\V0.26.dat
O21 - SSODL: WebExtLocation - {FE2DB5FF-5ECF-11D2-B28F-0080C8383C7B} - C:\WINNT\System32\tvdhlom.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

Nochmals danke für die AUswertung dieses "Kauderwelsch"! :-)))

Viele Grüße
Susan
__________________

Alt 24.01.2005, 15:25   #4
Focus
 
CAB-Datei & "Krepper.3": Trojaner entfernbar? - Standard

CAB-Datei & "Krepper.3": Trojaner entfernbar?



LSP-Fix downloaden.
Zitat:
Sichtbarmachen von Dateien und Ordnern: --> Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" sowie "Alle Dateien und Ordner anzeigen" aktivieren.
Zitat:
Hijack This Logfile:
In VGA Modus booten, mit Hijack This fixen (Häkchen setzen, auf Fix Checked klicken - siehe Anleitung):
R3 - Default URLSearchHook is missing

wenn unbekannt, fixen:

O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - h**p://64.124.45.181/downloads/ccpm_0237.cab
O16 - DPF: {7CF052DE-C74F-421B-B04A-3B3037EF5887} (CCMPGui Class) - h**p://64.124.45.181/chaincast/proxy/CCMP.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} - h**p://www.live365.com/players/play365.cab
O21 - SSODL: WebExtLocation - {FE2DB5FF-5ECF-11D2-B28F-0080C8383C7B} - C:\WINNT\System32\tvdhlom.dll

mit LSP-Fix entfernen:

C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
Zitat:
In normalen Modus booten.
Neues HJT Logfike erstellen, posten.
__________________
Focus

Antwort

Themen zu CAB-Datei & "Krepper.3": Trojaner entfernbar?
antivir, anzeige, anzeigen, archive, auszug, beseitigen, diverse, entfernen, ergebnis, fund, hilfe!, i-net, klick, log-file, microsoft, nichts, pferd, programm, seite, temp, trojaner, trojanische, trojanische pferd, win



Ähnliche Themen: CAB-Datei & "Krepper.3": Trojaner entfernbar?


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "MS13-052: Security Update for Microsoft .NET Framework 4 on Windows 7" nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 09.05.2014 (3)
  3. Windows7: Datei "dwm.exe" im Ordner "iswizard05" lässt sich nicht löschen
    Log-Analyse und Auswertung - 20.02.2014 (19)
  4. Windows 7: Auf Festplattenpartition für Daten befindet sich ein Ordner "SoftwareUpdater" mit einer Datei "SoftwareUpdater.Bootstrapper"
    Plagegeister aller Art und deren Bekämpfung - 10.02.2014 (13)
  5. Windows7 X64: Antivir Fund: "TR/Spy.ZBot.aaop" Meldung: Zugriff auf Datei wurde blockiert. Datei war in E-Mail- Anhang.
    Log-Analyse und Auswertung - 28.11.2013 (9)
  6. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  7. "Funmoods Search" Startseite nicht entfernbar - möglicher Virus?
    Plagegeister aller Art und deren Bekämpfung - 01.12.2012 (15)
  8. "userinit.exe" von Malwarebytes gefunden, nicht entfernbar
    Log-Analyse und Auswertung - 14.03.2012 (26)
  9. BKA Trojaner - habe mit OTLpe txt Datei erstellt - benötige nun eine "FIX-Datei"?
    Log-Analyse und Auswertung - 11.10.2011 (1)
  10. Trojaner "Gen:Variant.Kazy.22655" nach öffnen Scr Datei ??
    Log-Analyse und Auswertung - 12.05.2011 (1)
  11. "Trojan.Vundo-Variant/F" in Datei "C:\Windows\Syswow64\avsredirect.dll" + vorher weitere Schädlinge
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (15)
  12. Virus "Daurso.A" in Datei "svchost.exe"
    Plagegeister aller Art und deren Bekämpfung - 01.06.2010 (15)
  13. TR/Agent.ruo im Ordner "windows/system32" in der Datei "d3stez.dll"
    Plagegeister aller Art und deren Bekämpfung - 27.03.2010 (1)
  14. Trojaner-Warnung / "ab wann" ist eine infizierte Datei schädlich?
    Plagegeister aller Art und deren Bekämpfung - 25.02.2010 (4)
  15. Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon
    Plagegeister aller Art und deren Bekämpfung - 25.03.2008 (22)
  16. Hartnäckiger Trojaner "Vundo" NICHT löschbar bzw. entfernbar!
    Plagegeister aller Art und deren Bekämpfung - 04.10.2007 (1)
  17. "Krepper.3" in CAB-Datei: HijackThis & AntiVir-LogFiles
    Log-Analyse und Auswertung - 24.01.2005 (2)

Zum Thema CAB-Datei & "Krepper.3": Trojaner entfernbar? - Hi, gestern habe ich mir leider den Trojaner/Wurm "Krepper.3" durch einen unbedarften Klick auf einer I-Net Seite eingefangen. Daraufhin habe habe ich dann diverse Spybots und Trojanerkiller rüberlaufen lassen mit - CAB-Datei & "Krepper.3": Trojaner entfernbar?...
Archiv
Du betrachtest: CAB-Datei & "Krepper.3": Trojaner entfernbar? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.