Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner Krepper:Y

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.05.2006, 06:14   #1
Gravillons
 
Trojaner Krepper:Y - Standard

Trojaner Krepper:Y



Hallo,

Krepper.y hat sich bei mir eingenistet und ich werde ihn nicht los. Kasperky hat ihn gefunden, kann ihn aber nicht entfernen. Weitere laienhafte Entfernungsversuche und Recherchen waren ergebnislos. Habe mich jetzt hier umgeschaut, ein logfile mit HijackThis angefertigt und wäre sehr glücklich und dankbar, wenn mich jemand an die Hand nimmt um die notwendigen Schritte manuell abzuarbeiten.

Betriebssystem:windows ME

Pfadangaben von Kaspersky:

c:\_restore\temp\a0146847.cpy/data0027\bdeviewer.exe
c:\_restore\temp\a0146848.cpy
c:\_restore\temp\a0146847.cpy/data0027
c:\_restore\archive\fs1828.cab\a0146847.cpy/data0027\bdeviewer.exe
c:\_restore\archive\fs1828.cab\a0146848.cpy
c:\_restore\archive\fs1828.cab\a0146847.cpy/data0027


logfile von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17:56:02, on 12.05.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAVSVC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KLSWD.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\NORMAN\WIN95\CLAW95.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER3.0\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE
C:\EIGENE DATEIEN\DOWNLOADS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Cat's Claw] C:\NORMAN\WIN95\CLAW95.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [CreateCD50] C:\PROGRA~1\GEMEIN~1\ADAPTE~1\CREATECD\CREATE~1.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [kavsvc] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\\checker.exe /check
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab

Vielen Dank
Pascal

Alt 14.05.2006, 06:54   #2
nochdigger
 
Trojaner Krepper:Y - Standard

Trojaner Krepper:Y



mOIn Gravillons,
deaktiviere mal die Systemwiederherstellung - Neustart - Systemwiederherstellung wieder aktivieren und noch mal Scannen, außerdem solltest du diesen hier :
C:\NORMAN\WIN95\CLAW95.EXE
mal bei Jotti oder Virustotal überprüfen lassen
evtl. ist auf deinem System aber noch mehr.
Warten wir mal ab was die Spezies so sagen
MFG aus HH
__________________


Alt 14.05.2006, 11:11   #3
BataAlexander
> MalwareDB
 
Trojaner Krepper:Y - Standard

Trojaner Krepper:Y



Hallo,

drei Av Programme auf einem Rechner braucht niemand. Entscheide Dich für eines.
C:\NORMAN\WIN95\CLAW95.EXE nicht scannen, gehört zu Noman AV.
Zur Sicherheit kannst Du
mstask.exe
suchen und bei virustotal scannen, sieht aber nach dem Original aus.
Warum aber
Zitat:
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
verweigerst Du Dich den Updates? Gradew wo Du den IE zu benutzen scheinst.
Deaktivere die Systemwiederherstellung und starte den Rechner dann neu, SW wieder aktivieren.
Jetzt Updaten, dannach ein voller OnlineScan. Log hier posten

Gruß

Schrulli
__________________
__________________

Alt 14.05.2006, 16:18   #4
Gravillons
 
Trojaner Krepper:Y - Standard

Trojaner Krepper:Y



Hallo Schrulli,

bin sehr geehrt, aber ich fürchte, du überschätzt meine Fähigkeiten. Mach mich gleich an die Arbeit ! Danke für die Info und die Links, ich werde lesen...)

Gruß
Gravillons

Alt 14.05.2006, 23:18   #5
Gravillons
 
Trojaner Krepper:Y - Standard

Trojaner Krepper:Y



Hallo Schrulli,

nach Deaktivierung, Aktivierung der SW, anschließendem Update zu "IE 6 Sp1" hatte ich einige Probleme den Rechner wieder hochzufahren.
Anschließend den onlinescan durchgeführt mit folgenden Ergebnis:

Spyware:spyware/new.net Nicht desinfiziert c:\windows\NDNuninstall5_64.exe
Adware:adware/downloadware Nicht desinfiziert c:\programme\MediaLoads
Adware:adware/cws Nicht desinfiziert Windows-Registry
Adware:Adware/WinTools Nicht desinfiziert C:\WINDOWS\SYSTEM\grwinsthlp.exe
Spyware:Cookie/Xiti Nicht desinfiziert C:\WINDOWS\Cookies\standard@xiti[1].txt
Spyware:Cookie/Falkag Nicht desinfiziert C:\WINDOWS\Cookies\standard@as1.falkag[1].txt
Spyware:Cookie/fe.lea.lycos Nicht desinfiziert C:\WINDOWS\Cookies\standard@fe.lea.lycos[1].txt
Spyware:Cookie/Apmebf Nicht desinfiziert C:\WINDOWS\Cookies\standard@apmebf[1].txt
Spyware:Cookie/Serving-sys Nicht desinfiziert C:\WINDOWS\Cookies\standard@serving-sys[2].txt
Spyware:Cookie/Serving-sys Nicht desinfiziert C:\WINDOWS\Cookies\standard@serving-sys[1].txt
Spyware:Cookie/YieldManager Nicht desinfiziert C:\WINDOWS\Cookies\standard@ad.yieldmanager[2].txt
Spyware:Cookie/Adtech Nicht desinfiziert C:\WINDOWS\Cookies\standard@adtech[2].txt
Spyware:Cookie/Overture Nicht desinfiziert C:\WINDOWS\Cookies\standard@perf.overture[1].txt
Spyware:Cookie/Searchportal Nicht desinfiziert C:\WINDOWS\Cookies\standard@searchportal.information[1].txt
Spyware:Cookie/Atwola Nicht desinfiziert C:\WINDOWS\Cookies\standard@atwola[1].txt
Spyware:Cookie/2o7 Nicht desinfiziert C:\WINDOWS\Cookies\standard@microsofteup.112.2o7[1].txt
Spyware:Cookie/2o7

(Der Vollständigkeit halber kann ich noch erwähnen, daß auf meinem Bildschirm flackernde Streifen zu sehen sind, die manchmal für kurze Zeiträume (z.B bei Scanvorgängen mit Av-Programm) verschwinden.

Gruß
Gravillons


Alt 15.05.2006, 01:44   #6
BataAlexander
> MalwareDB
 
Trojaner Krepper:Y - Standard

Trojaner Krepper:Y



Hallo,

lade Dir Killbox, in meiner Signatur verlinkt, lösche folgende Dateien mit der Killbox (Option "delete on reboot", auf das weisse Kreuz mit rotem Hintergrund klicken und erst nach der letzten Datei eine Neustart bejahen

c:\windows\NDNuninstall5_64.exe
c:\programme\MediaLoads
C:\WINDOWS\SYSTEM\grwinsthlp.exe

Dannach lade cleanup und führe es aus, benutze jetzt datfind.bat und poste die vier Logs, aber nur die Dateien der letzten drei Monate abkopieren.

Gruß

Schrulli
__________________
--> Trojaner Krepper:Y

Alt 15.05.2006, 15:31   #7
Gravillons
 
Trojaner Krepper:Y - Standard

Trojaner Krepper:Y



Hallo,

alles abgearbeitet, konnte allerdings beim Programm clean up nicht "delete prefetch files" ankreuzen. Ansonsten habe ich es wie unter dem Link angegeben eingestellt. Weiterhin wußte ich nicht, ob ich nach Ausführung von "clean up" windows hätte neu starten müssen, so daß ich direkt im Anschluß ohne Neustart datfind.bat habe laufen lassen. Hier das Ergebnis:

unter system32 keine Einträge innerhalb der letzten drei Monate

Datentr„ger in Laufwerk C: 70_01I54
Seriennummer des Datentr„gers: 2908-14EB
Verzeichnis von C:\WINDOWS

CLASSES DAT 4.558.880 15.05.06 16:15 CLASSES.DAT
USER DAT 1.486.880 15.05.06 16:15 USER.DAT
SYSTEM DAT 2.981.920 15.05.06 16:12 SYSTEM.DAT
HCNR56K LOG 1.914 15.05.06 16:07 HCNR56K.log
SYSTEM INI 2.242 15.05.06 16:06 SYSTEM.INI
WAVEMIX INI 54 15.05.06 16:06 WAVEMIX.INI
POWERPNT INI 60 15.05.06 16:06 POWERPNT.INI
SCHEDLOG TXT 32.701 15.05.06 15:57 SCHEDLOG.TXT
NDISLOG TXT 0 15.05.06 15:57 NDISLOG.TXT
WIN386 SWP 390.070.272 15.05.06 15:57 WIN386.SWP
SSDPCA~1 TXT 0 15.05.06 15:57 ssdpcache.txt
WININIT BAK 101 15.05.06 15:56 WININIT.BAK
WIN INI 8.071 14.05.06 23:32 WIN.INI
SETUPAPI LOG 343.219 14.05.06 23:06 setupapi.log
BRNDLOG TXT 10.317 14.05.06 21:09 brndlog.txt
OEWABLOG TXT 1.255 14.05.06 21:09 OEWABLog.txt
RUNONC~1 TXT 7.411 14.05.06 20:38 RunOnceEx Log.txt
BRNDLOG BAK 141 14.05.06 20:23 brndlog.bak
ACTIVE~1 TXT 27.746 14.05.06 20:22 Active Setup Log.txt
ACTIVE~1 BAK 6.303 14.05.06 19:15 Active Setup Log.BAK
IE4ERR~1 TXT 1.707 14.05.06 18:48 IE4 Error Log.txt
WINDOW~1 LOG 417 14.05.06 18:48 Windows Update.log
FAULTLOG TXT 132.904 14.05.06 18:48 Faultlog.txt
WININI~1 OLD 152 11.05.06 16:30 wininitlog.old
TTFCACHE 19.270 10.05.06 22:51 ttfCache
WIASERVC LOG 426 13.04.06 22:40 wiaservc.log
WRUNIN~1 DLL 478.720 22.02.06 8:34 WRUninstall.dll
HOSTS NEW 0 10.02.06 13:09 hosts.new


Datentr„ger in Laufwerk C: 70_01I54
Seriennummer des Datentr„gers: 2908-14EB
Verzeichnis von C:\

SYS TXT 0 15.05.06 16:17 sys.txt
SYSTEM TXT 16.554 15.05.06 16:17 system.txt
SYSTEM~1 TXT 15.104 15.05.06 16:16 systemtemp.txt
SYSTEM32 TXT 340 15.05.06 16:14 system32.txt
SCANDISK LOG 722 14.05.06 22:42 SCANDISK.LOG
COMPATID TXT 220 31.03.06 10:05 COMPATID.TXT

Datentr„ger in Laufwerk C: 70_01I54
Seriennummer des Datentr„gers: 2908-14EB
Verzeichnis von C:\WINDOWS\TEMP

SMURFVER XML 460 15.05.06 16:09 smurfver.xml
~DFCCCE TMP 3.072 15.05.06 15:57 ~DFCCCE.TMP
~WRF0256 TMP 1.536 14.05.06 21:15 ~WRF0256.tmp
~DFF6FB TMP 0 14.05.06 21:13 ~DFF6FB.TMP
RGI4130 TMP 36.818 14.05.06 20:36 RGI4130.TMP
RGI2F1 TMP 909 14.05.06 20:32 RGI2F1.TMP
DIR2226 TMP 2.815 11.05.06 20:34 Dir2226.TMP
MSIEVENT LOG 1.953 11.05.06 15:24 msievent.log
ACR4194 TMP 179 10.05.06 16:50 Acr4194.TMP
~DFC3F9 TMP 0 09.05.06 7:41 ~DFC3F9.TMP
~WRF2225 TMP 1.536 09.05.06 7:41 ~WRF2225.tmp
~WRS1388 TMP 3.168 09.05.06 7:41 ~WRS1388.tmp
~DF6634 TMP 0 09.05.06 7:40 ~DF6634.TMP
PLF33B1 TMP 5.310 08.05.06 17:20 plf33B1.TMP
DIRA3A5 TMP 2.815 06.05.06 15:11 DirA3A5.TMP
~WRF3461 TMP 1.536 02.05.06 21:49 ~WRF3461.tmp
~WRS2706 TMP 96.284 02.05.06 21:49 ~WRS2706.tmp
~WRD2646 DOC 756 02.05.06 21:49 ~WRD2646.doc
~DFF25E TMP 3.072 02.05.06 21:49 ~DFF25E.TMP
~DF33DA TMP 0 02.05.06 21:46 ~DF33DA.TMP
~DF33DB TMP 0 02.05.06 21:46 ~DF33DB.TMP
~DF9E1 TMP 0 02.05.06 21:38 ~DF9E1.TMP
~DF138C TMP 0 02.05.06 21:37 ~DF138C.TMP
~DF138E TMP 0 02.05.06 21:37 ~DF138E.TMP
~DF314C TMP 0 02.05.06 21:36 ~DF314C.TMP
~DF3168 TMP 0 02.05.06 21:36 ~DF3168.TMP
~DF314E TMP 0 02.05.06 21:36 ~DF314E.TMP
~DFE1AE TMP 0 02.05.06 21:28 ~DFE1AE.TMP
~DFAB22 TMP 0 02.05.06 21:07 ~DFAB22.TMP
~DFC054 TMP 0 02.05.06 20:58 ~DFC054.TMP
~DF6A28 TMP 0 02.05.06 20:57 ~DF6A28.TMP
~DFD72F TMP 0 02.05.06 20:57 ~DFD72F.TMP
~DFF207 TMP 0 02.05.06 20:55 ~DFF207.TMP
~DFD7D2 TMP 0 02.05.06 20:55 ~DFD7D2.TMP
~DF978 TMP 0 13.04.06 22:47 ~DF978.TMP
~WRS1461 TMP 897 13.04.06 22:38 ~WRS1461.tmp
~WRF4034 TMP 1.536 13.04.06 22:38 ~WRF4034.tmp
~DF99C1 TMP 0 13.04.06 22:38 ~DF99C1.TMP
~DF99C3 TMP 0 13.04.06 22:38 ~DF99C3.TMP
WWW10D0 TMP 197 11.04.06 8:49 www10D0.TMP
WWW1106 TMP 197 10.04.06 15:33 www1106.TMP
WECERR TXT 351 10.04.06 15:11 wecerr.txt
WWW5395 TMP 197 07.04.06 13:21 www5395.TMP
WWWA183 TMP 197 05.04.06 9:10 wwwA183.TMP
WWW4291 TMP 197 03.04.06 11:20 www4291.TMP
WWWB0C5 TMP 197 03.04.06 8:59 wwwB0C5.TMP
MSI72583 LOG 45.595 31.03.06 13:21 MSI72583.LOG
WWWB0D4 TMP 197 31.03.06 12:43 wwwB0D4.TMP
CRSE2D2 TMP 5.633.072 31.03.06 10:30 CRSE2D2.TMP
WWW9334 TMP 197 31.03.06 9:25 www9334.TMP
WWW2310 TMP 197 30.03.06 18:18 www2310.TMP
TRIMADPH HTM 1.237 30.03.06 9:52 triMADPH.htm
TRIECDPH HTM 6.330 30.03.06 9:52 triECDPH.htm
TRIEDDPH HTM 8.199 30.03.06 9:52 triEDDPH.htm
WWW2361 TMP 197 30.03.06 8:50 www2361.TMP
WWW3392 TMP 197 28.03.06 14:35 www3392.TMP
WWWA003 TMP 197 23.03.06 10:10 wwwA003.TMP
~WRC1936 TMP 0 22.03.06 7:38 ~WRC1936.tmp
~WRF2670 TMP 1.536 22.03.06 7:37 ~WRF2670.tmp
~DFD91C TMP 0 22.03.06 7:37 ~DFD91C.TMP
~DFAF1F TMP 0 22.03.06 7:37 ~DFAF1F.TMP
WWW22C2 TMP 197 21.03.06 15:18 www22C2.TMP
TRILNOAB HTM 116.668 18.03.06 15:13 triLNOAB.htm
TRIPOOAB HTM 1.436 18.03.06 15:13 triPOOAB.htm
TRIFPOAB HTM 782 18.03.06 15:13 triFPOAB.htm
~WRF1464 TMP 1.536 07.03.06 17:25 ~WRF1464.tmp
~WRS0416 TMP 4.200 07.03.06 17:25 ~WRS0416.tmp
~DF9491 TMP 0 07.03.06 17:20 ~DF9491.TMP
~DF794 TMP 0 07.03.06 17:13 ~DF794.TMP
~DFD703 TMP 0 07.03.06 17:03 ~DFD703.TMP
MSIDCDA3 LOG 45.573 06.03.06 11:11 MSIdcda3.LOG
~WRF3646 TMP 1.536 01.03.06 15:16 ~WRF3646.tmp
~WRS3600 TMP 1.089 01.03.06 15:16 ~WRS3600.tmp
~DFC604 TMP 0 01.03.06 15:16 ~DFC604.TMP
~DFB8D6 TMP 0 01.03.06 14:58 ~DFB8D6.TMP
~DF7892 TMP 0 01.03.06 14:37 ~DF7892.TMP
TRIJFIFJ HTM 43.497 01.03.06 9:06 triJFIFJ.htm
TRIKNJCM HTM 43.244 01.03.06 8:15 triKNJCM.htm
WWWE295 TMP 83 23.02.06 9:14 wwwE295.TMP
CRS9220 TMP 2.997.936 18.02.06 10:57 CRS9220.TMP
CRSF284 TMP 4.034.832 18.02.06 10:47 CRSF284.TMP
~DFEAD7 TMP 1.536 17.02.06 8:23 ~DFEAD7.TMP
~DFEAE4 TMP 0 17.02.06 8:01 ~DFEAE4.TMP
TMP2004 TMP 0 16.02.06 22:02 TMP2004.TMP
TMP2005 TMP 0 16.02.06 22:02 TMP2005.TMP
~DFD21 TMP 1.536 15.02.06 8:17 ~DFD21.TMP
~DFD36 TMP 0 15.02.06 8:15 ~DFD36.TMP
~WRF0005 TMP 1.536 14.02.06 8:59 ~WRF0005.tmp

Bin gespannt !?

Gruß
Gravillons

Alt 16.05.2006, 11:00   #8
BataAlexander
> MalwareDB
 
Trojaner Krepper:Y - Standard

Trojaner Krepper:Y



Hallo,

lass uns das grad nochmal versuchen.

Cleanup, wie hier beschrieben einstellen und alles löschen.
Die vier Logs der datfind.bat hier posten, aber nur die Dateien der letzten drei Monate.

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 16.05.2006, 11:30   #9
dartus
 
Trojaner Krepper:Y - Standard

Trojaner Krepper:Y



Kurz einmisch:

@Schrulli,

Zitat:
Platform: Windows ME (Win9x 4.90.3000)
Datfind.bat ist eher etwas für "XP" und "2k".
Die Dateien, die Du sehen möchtest, befinden sind bei "ME" und auch "98" unter "System".

dartus
__________________
Kein Support per PN

Alt 16.05.2006, 21:04   #10
Gravillons
 
Trojaner Krepper:Y - Standard

Trojaner Krepper:Y



Hallo,

ich habe die Programme cleanup inklusive Neustart ! und datfind.bat nochmal ablaufen lassen. Die Einstellungen in cleanup habe ich wieder nur bedingt vornehmen können, da sich "delete prefetch files" wieder nicht ankreuzen ließ (Feld grau hinterlegt). (Ich habe das Programm erneut geladen und installiert, ohne Veränderung in den Einstellungsmöglichkeiten.) Hier die logs:


Datentr„ger in Laufwerk C: 70_01I54
Seriennummer des Datentr„gers: 2908-14EB
Verzeichnis von C:\

SYS TXT 0 16.05.06 17:04 sys.txt
SYSTEM~1 TXT 167 16.05.06 17:04 systemtemp.txt
SYSTEM TXT 16.491 16.05.06 17:04 system.txt
SYSTEM32 TXT 340 16.05.06 17:04 system32.txt
SCANDISK LOG 754 15.05.06 20:41 SCANDISK.LOG
COMPATID TXT 220 31.03.06 10:05 COMPATID.TXT

Datentr„ger in Laufwerk C: 70_01I54
Seriennummer des Datentr„gers: 2908-14EB
Verzeichnis von C:\WINDOWS

USER DAT 1.486.880 16.05.06 17:03 USER.DAT
SYSTEM DAT 2.981.920 16.05.06 17:03 SYSTEM.DAT
SYSTEM INI 2.242 16.05.06 16:59 SYSTEM.INI
WAVEMIX INI 54 16.05.06 16:59 WAVEMIX.INI
POWERPNT INI 60 16.05.06 16:59 POWERPNT.INI
SCHEDLOG TXT 32.701 16.05.06 16:59 SCHEDLOG.TXT
NDISLOG TXT 0 16.05.06 16:59 NDISLOG.TXT
WIN386 SWP 390.070.272 16.05.06 16:59 WIN386.SWP
SSDPCA~1 TXT 0 16.05.06 16:58 ssdpcache.txt
WININIT BAK 44 16.05.06 16:58 WININIT.BAK
HCNR56K LOG 2.578 16.05.06 16:52 HCNR56K.log
CLASSES DAT 4.558.880 16.05.06 16:50 CLASSES.DAT
WININI~1 OLD 145 15.05.06 15:57 wininitlog.old
WIN INI 8.071 14.05.06 23:32 WIN.INI
SETUPAPI LOG 343.219 14.05.06 23:06 setupapi.log
BRNDLOG TXT 10.317 14.05.06 21:09 brndlog.txt
OEWABLOG TXT 1.255 14.05.06 21:09 OEWABLog.txt
RUNONC~1 TXT 7.411 14.05.06 20:38 RunOnceEx Log.txt
BRNDLOG BAK 141 14.05.06 20:23 brndlog.bak
ACTIVE~1 TXT 27.746 14.05.06 20:22 Active Setup Log.txt
ACTIVE~1 BAK 6.303 14.05.06 19:15 Active Setup Log.BAK
WINDOW~1 LOG 417 14.05.06 18:48 Windows Update.log
FAULTLOG TXT 132.904 14.05.06 18:48 Faultlog.txt
TTFCACHE 19.270 10.05.06 22:51 ttfCache
WIASERVC LOG 426 13.04.06 22:40 wiaservc.log
WRUNIN~1 DLL 478.720 22.02.06 8:34 WRUninstall.dll
HOSTS NEW 0 10.02.06 13:09 hosts.new


und dazu zwei alte Einträge unter windows\system 32; windows\temp ist leer

Gruß
Gravillons

Alt 23.05.2006, 09:17   #11
Gravillons
 
Trojaner Krepper:Y - Standard

Trojaner Krepper:Y



Hallo,

vielen Dank für die Beiträge mein Problem zu lösen.

Hat jemand noch abschließend eine Idee wie nun fortzufahren ist.

Gravillons

Antwort

Themen zu Trojaner Krepper:Y
1.exe, adobe, antivir, bho, canon, dateien, explorer, hijack, hijackthis, internet, internet explorer, kaspersky, logfile, messenger, microsoft, msn, msn messenger, norman, programme, registry, rundll, rundll32.exe, software, temp, trojaner, windows, yahoo




Ähnliche Themen: Trojaner Krepper:Y


  1. TR/ Krepper.C
    Plagegeister aller Art und deren Bekämpfung - 16.08.2007 (8)
  2. TR/dldr./Krepper.3 ?!?
    Log-Analyse und Auswertung - 21.06.2005 (3)
  3. Trojaner Krepper
    Plagegeister aller Art und deren Bekämpfung - 30.05.2005 (13)
  4. Trojaner Trojan.Win32.Krepper.ae
    Plagegeister aller Art und deren Bekämpfung - 14.02.2005 (6)
  5. CAB-Datei & "Krepper.3": Trojaner entfernbar?
    Plagegeister aller Art und deren Bekämpfung - 24.01.2005 (3)
  6. TR/Dldr Krepper.3
    Plagegeister aller Art und deren Bekämpfung - 18.12.2004 (3)
  7. TR/Dldr.Krepper.3
    Plagegeister aller Art und deren Bekämpfung - 11.12.2004 (11)
  8. TR/Dldr.Stubby ; TR/Click.Krepper ; TR/Dldr.Krepper.3 ; Brauche Hilfe !
    Plagegeister aller Art und deren Bekämpfung - 09.11.2004 (6)
  9. Tr/Krepper.C.
    Log-Analyse und Auswertung - 25.09.2004 (1)
  10. TR/drop.Krepper.B.2
    Log-Analyse und Auswertung - 16.09.2004 (2)
  11. Tr/Krepper.C
    Log-Analyse und Auswertung - 14.08.2004 (10)
  12. TR/Krepper.C
    Plagegeister aller Art und deren Bekämpfung - 13.08.2004 (12)
  13. TR/Krepper.C
    Plagegeister aller Art und deren Bekämpfung - 30.05.2004 (6)
  14. TR/Krepper.C - was richtet er an?
    Plagegeister aller Art und deren Bekämpfung - 15.05.2004 (1)
  15. tr/krepper.c
    Plagegeister aller Art und deren Bekämpfung - 08.05.2004 (1)
  16. Habe TR/Krepper.C
    Plagegeister aller Art und deren Bekämpfung - 08.05.2004 (1)
  17. Win32.Krepper
    Plagegeister aller Art und deren Bekämpfung - 18.04.2004 (3)

Zum Thema Trojaner Krepper:Y - Hallo, Krepper.y hat sich bei mir eingenistet und ich werde ihn nicht los. Kasperky hat ihn gefunden, kann ihn aber nicht entfernen. Weitere laienhafte Entfernungsversuche und Recherchen waren ergebnislos. Habe - Trojaner Krepper:Y...
Archiv
Du betrachtest: Trojaner Krepper:Y auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.