TR/Krepper.C

TheD4rKSide81 · 21.07.2004, 16:16

Hi Leute,

mein AntiVir hat den o.g. Trojaner gefunden, wie krieg ich das Teil wieder los ?

Gruß

TheD4rKSide81

Hier mein Logfile von Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 17:00:48, on 21.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVWIN.EXE
F:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.ebay.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...147.1830324074
O17 - HKLM\System\CCS\Services\Tcpip\..\{07837E0C-6EB7-4A1E-AA50-1C06C8EED6D5}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{07837E0C-6EB7-4A1E-AA50-1C06C8EED6D5}: NameServer = 192.168.1.1

und hier noch von AntiVir:

C:\
PAGEFILE.SYS
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WININST
WIN98_23.CAB
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
WIN98_24.CAB
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\WINDOWS
preInsTT.exe
Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
C:\WINDOWS\SYSTEM32\config
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp
optimize.exe
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ist_install.exe
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\THI2DDF.tmp
twaintec.cab
ArchiveType: CAB (Microsoft)
--> twaintec.dll
[FUND!] Ist das Trojanische Pferd TR/Krepper.C
--> preInsTT.exe
Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
twaintec.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
preInsTT.exe
Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
C:\System Volume Information\_restore{F6B2E564-015F-4FCF-9E27-AB3057931390}\RP47
A0020000.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

F:\Treiber\Win98\Asus\BIOS
1009.zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt

21.07.2004, 21:34

hi TheD4rKSide81,

das log sieht imho sauber aus.

allerding würde ich dir raten, dein win x zu warten. sprich: temporäre internet files [tif´s] löschen, datenträgerbereinigung, tempfolder leeren etc. das komplette programm.

dann bist du auch die meldung über den trojaner los.

TheD4rKSide81 · 23.07.2004, 14:13

Hi mav1976,

danke für die Antwort, dann bin ich den Krepper also los ?
Tempfiles usw. hab ich gelöscht !

Gruß

TDS81

rolligirl · 07.08.2004, 14:52

Hallo!

Ich habe mit Antivir diesen hier gefunden...

PMS/Dldr.Krepper.1

Und mein Logfile mit HJT:

Logfile of HijackThis v1.98.0
Scan saved at 15:51:06, on 07.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Elvira Dreiers\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~2\bin\resources\WebMenuImg.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/game.../y/t21t0_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt3_x.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...82/mcfscan.cab

_______________________________________

Wäre toll, wenn mir da jemand helfen könnte...

LG, rolligirl

Rene-gad · 07.08.2004, 15:54

Hallo Elvira

Zitat:

Ich habe mit Antivir diesen hier gefunden...
PMS/Dldr.Krepper.1

Wo genau wurde den Virus gefunden/gemeldet? Pfandangaben sind wichtig.
In deinem Log sehe ich nichts besonders Schlimmes. Gibt es Probleme? Grundsatzlich wäre es gut, wenn du einen anderen Browser zum Surfen verwendest: Mozilla, Firefox oder Opera.

rolligirl · 10.08.2004, 08:34

Hallo!

Ich heiße übrigens Dani *g*

alsoooo... ich mache gerade nochmal nen Scan... im Bericht kann ich dann den Pfad spätestens erkennen?

LG, rolligirl

21.07.2004, 21:34	#2
mav1976 Gast	TR/Krepper.C hi TheD4rKSide81, das log sieht imho sauber aus. allerding würde ich dir raten, dein win x zu warten. sprich: temporäre internet files [tif´s] löschen, datenträgerbereinigung, tempfolder leeren etc. das komplette programm. dann bist du auch die meldung über den trojaner los. __________________

TR/Krepper.C

Plagegeister aller Art und deren Bekämpfung: TR/Krepper.C

TR/Krepper.C

TR/Krepper.C

TR/Krepper.C

TR/Krepper.C

TR/Krepper.C

TR/Krepper.C

Ähnliche Themen: TR/Krepper.C

23.07.2004, 14:13	#3
TheD4rKSide81	TR/Krepper.C Hi mav1976, danke für die Antwort, dann bin ich den Krepper also los ? Tempfiles usw. hab ich gelöscht ! Gruß TDS81 __________________

10.08.2004, 08:34	#6
rolligirl	TR/Krepper.C Hallo! Ich heiße übrigens Dani g alsoooo... ich mache gerade nochmal nen Scan... im Bericht kann ich dann den Pfad spätestens erkennen? LG, rolligirl