CAB-Datei & "Krepper.3": Trojaner entfernbar?

Susan27 · 24.01.2005, 13:58

Hi,

gestern habe ich mir leider den Trojaner/Wurm "Krepper.3" durch einen unbedarften Klick auf einer I-Net Seite eingefangen. Daraufhin habe habe ich dann diverse Spybots und Trojanerkiller rüberlaufen lassen mit dem Ergebnis, dass schließlich das Programm AntiVir angezeigt hat, dass sich der Wurm "Krepper.3" in einer Cab.Datei (localNrd.cab) befindet! Hier der Log-File Auszug:

"C:\WINNT\Temp\THI737B.tmp
localNrd.cab
ArchiveType: CAB (Microsoft)
--> polall1l.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Krepper.3"

Leider konnte AntiVir nur den Wurm anzeigen aber nicht beseitigen, weil dies angeblich nicht bei innerhalb von Cab-Dateien vorhandenen "Störenfrieden"
ginge.

1) Könnt Ihr mir sagen, ob das so stimmt? Oder gibt es doch eine Möglichkeit, Trojaner/Würmer aus Cab-Dateien wieder zu entfernen?

2) Könnt Ihr mir sagen, was für Schadensroutinen "Krepper.3" genau hat? Bislang konnte ich nichts "merkwürdiges" entdecken.

Vielen lieben dank für Eure Hilfe!

Viele Grüße
Susan

Focus · 24.01.2005, 14:22

TR/Dldr.Krepper.3 lädt Code aus dem Netz, installiert sich in der Registry. Folge: schädlicher Einfluss auf den IE, pop-ups, Links ect.

Temporäre Ordner leeren:

Zitat:

Clear Prog downloaden. Häkchen bei "Clear all" setzen, auf "Clear" klicken.

Hijack This v1.99.0

Zitat:

1. Neuen Ordner "HijackThis" auf "c:\" erstellen: C:\Programm\HijackThis
2. Direct download Hijack This.
3. Mit Zip-Programm in neuen Ordner entpacken: Anleitung
4. HJT Logfile erstellen und posten.

Susan27 · 24.01.2005, 14:39

Hi Focus,

ok..hier die mit HijackThis erstellte Log-Datei:

Logfile of HijackThis v1.99.0
Scan saved at 14:31:58, on 24.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\SLEE401.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\WINNT\System32\rmctrl.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\OE-QuoteFix\oequotefix.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.t-online.de/software/ie401/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.t-online.de/service/redir/tosw4_start.htm
R3 - Default URLSearchHook is missing
N3 - Netscape 7: user_pref("browser.startup.homepage", ""); (C:\Documents and Settings\Administrator\Application Data\Mozilla\Profiles\default\wpcs5fbt.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%206%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Administrator\Application Data\Mozilla\Profiles\default\wpcs5fbt.slt\prefs.js)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MyLogoHelper - {EA4587EB-3106-448a-8B31-F1572E981765} - C:\PROGRA~1\EDENSO~1\MyLogo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\trash.exe (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.t-online.de
O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - hxxp://64.124.45.181/downloads/ccpm_0237.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - hxxp://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {7CF052DE-C74F-421B-B04A-3B3037EF5887} (CCMPGui Class) - hxxp://64.124.45.181/chaincast/proxy/CCMP.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} - hxxp://www.live365.com/players/play365.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - hxxp://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{96B9A3F6-444F-4C27-A047-6EFBE871945E}: NameServer = 217.237.151.33 217.237.149.225
O18 - Filter: text/html - {FE5B95A4-166F-4FDA-B926-C0B9F6E668FB} - C:\Documents and Settings\Administrator\Local Settings\Application Data\microsoft\internet explorer\V0.26.dat
O21 - SSODL: WebExtLocation - {FE2DB5FF-5ECF-11D2-B28F-0080C8383C7B} - C:\WINNT\System32\tvdhlom.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

Nochmals danke für die AUswertung dieses "Kauderwelsch"! :-)))

Viele Grüße
Susan

Focus · 24.01.2005, 15:25

LSP-Fix downloaden.

Zitat:

Sichtbarmachen von Dateien und Ordnern: --> Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" sowie "Alle Dateien und Ordner anzeigen" aktivieren.

Zitat:

Hijack This Logfile:
In VGA Modus booten, mit Hijack This fixen (Häkchen setzen, auf Fix Checked klicken - siehe Anleitung):

R3 - Default URLSearchHook is missing

wenn unbekannt, fixen:

O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - h**p://64.124.45.181/downloads/ccpm_0237.cab
O16 - DPF: {7CF052DE-C74F-421B-B04A-3B3037EF5887} (CCMPGui Class) - h**p://64.124.45.181/chaincast/proxy/CCMP.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} - h**p://www.live365.com/players/play365.cab
O21 - SSODL: WebExtLocation - {FE2DB5FF-5ECF-11D2-B28F-0080C8383C7B} - C:\WINNT\System32\tvdhlom.dll

mit LSP-Fix entfernen:

C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Zitat:

In normalen Modus booten.

Neues HJT Logfike erstellen, posten.

CAB-Datei & "Krepper.3": Trojaner entfernbar?

Plagegeister aller Art und deren Bekämpfung: CAB-Datei & "Krepper.3": Trojaner entfernbar?