Trojaner-Board - hilfe. holländer in Not.

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - hilfe. holländer in Not. (https://www.trojaner-board.de/11884-hilfe-hollaender-not.html)

hilfe. holländer in Not.

hallo, ich habe grade gelesen, das jemanden den virus W32/krepper.ae gefixt hat. wer kann mir helfen, denn ich habe den selben virus in meinem pc.
den logs hab ich auch eingesehen, und habe ungefehr das zelbe. bitte hilfe.
greetzz Johan :heulen:

Hallo,

"ungefähr dasselbe" nützt leider in diesen Zusammenhängen gar nix. :) Wir brauchen wirklich ganz exakt DEIN Log und außerdem wäre es wichtig, zu wissen, WO genau WELCHER Virenscanner diesen Schädling gefunden hat.

@jovadi
poste doch mal ein HJT logfile
download
anleitung
poste wie MountainKing schon schrieb, auch den pfad und virenscanner
moet je toch effe doen, anders heb het geen zin.
chaosman

also, ich trachtte dass zu machen was ihr sagt. hjt log und pfad.

Logfile of HijackThis v1.99.0
Scan saved at 18:12:50, on 10-1-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mihrfd9i94r2xzthd.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINDOWS\System32\mihrfd9i94r2xzthd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Local Settings\Temp\Tijdelijke map 2 voor hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\mihrfd9i94r2xzthd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O20 - AppInit_DLLs: 2p24d1cton2.dll
O23 - Service: Norman API-hooking helper - Unknown - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

soviel hab ich vorerst, den Pfad ist jedesmal wieder anders. Mein virus scanner ist Norman und Der findet auch immer( je 5 minuten) den virus KLEPPER (c:\windows\system32\vgz3lgh9g5m2j.dll) und (\\\du6vw6s43v6p5.dll) und immer mehr und mehr. When ich schliesse(um alles in quarantaine zu zetsen) dan muss ich das 11,17,18,20 x machen. Und es wiederholt sich nach 5 minuten.
grussss Johan

Deaktiviere die Systemwiederherstellung und fixe im abgesicherten Modus

http://www.trojaner-board.de/51130-a...bedeutet_FIXEN

die Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\mihrfd9i94r2xzthd.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - AppInit_DLLs: 2p24d1cton2.dll

Lösche die aufgeführten Dateien, starte in den normalen Modus, aktiviere die Wiederherstellung. Service Pack 2 solltest du installieren und außerdem den IE durch einen alternativen Browser wie opera oder firefox ersetzen.

vielen dank fur die Hilfe. Ich soll Morgen ihren Rat ausfuhren.
Ich sag ihn bescheid den Results.

Schuusss

@ jovadi

als je dat gedaan hebt, wat mijn collega je geadviseerd hebben, mag je een nieuwe map op je harde schijf aanmaken en deze map "bases" noemen. Nu ladt je de eScan neer. Je ontpakt dit programma in de nieuw van jou aangemaakte map. Kun je a.u.b. het programma online updaten en het offline in de veilige modus uitvoeren. Het zal iets om een uur duren tot het systeem helemaal gescanned is. Als je iets niet weet, mag je de aanleiding doorlezen en naar de bilderen kijken. Er wordt er alles van verklaard in de link van de eScan. Deze versie van de eScan verwijdert geen virussen, dat doen we hier aan board zelf. Laat ons dan graag weten hoeveel virussen je op je systeem hebt:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

en hoe ze heten, deze virussen, willen we ook weten: "open de mwav.log (of de mwXface.log) -> bewerken -> zoeken -> infected aangeven -> doorgaan met zoeken -> hit markeren/kopieeren en in het board kopieeren." (Cidre geziteerd en vertaald)

Zitat:

Zitat von jovadi

vielen dank fur die Hilfe. [..] Schuusss

Aanmerking/Anmerkung

Ik zit hier te lachen, want ik denk, dat sommigen van mijn collega's deze manier van afscheid toch misschien een beetje freemd vinden. In het Duits wordt het "u" zo gesproken als het "oe" in het Nederlands. En dat wat jij geschreven hebt, maakt de mensen misschien er aan denken, dat je een shot wilde afgeven .. maar dat bedoelde je waarschijnelijk niet. Ik neem aan, je had willen schrijven: Tschüß ;-)

Ich lach mich gerade schief, weil mir eingefallen ist, wie Ihr dieses Wort am Ende von jovadi's Posting lest. Im Niederländischen wird das "u" wie "ü" gesprochen. Das "oe" wird wie "u" gesprochen. Jovadi wollte also nicht schiessen sondern sich von Euch mit einem "Tschüß" verabschieden. Beide Worte klingen in etwa gleich ... aber eben in zwei verschiedenen Sprachen.

:lach:

moin-moin, danke für alle Hilfe, shadowdance und mountainking. Jetzt gehe Ich damit anfangen. Wenn Es klapt oder nicht , Ich meldde mich wieder.

Tchüsschen

also, pfffffft, Es waren 32456 virus scanned.wovon:
1: trojan Clicker.win32.small.bg
2 trojan win32.regger.j
32454: trojan win32.krepper.ae

nicht mehr!!!??

was soll ich jetzt machen?

grüsse
johan

@jovadi
poste doch mal folgendes
________________________________________
Öffne C:\bases\mwav.log
Am Ende folgendes suchen und hier rein kopieren:
Zitat:
Total Files Scanned:
Total Virus(es) Found:
Total Disinfected Files:
Total Files Renamed:
Total Deleted Files:
Total Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count:
chaosman

Thu Jan 13 19:03:54 2005 => Total Files Scanned: 39562
Thu Jan 13 19:03:54 2005 => Total Virus(es) Found: 34761
Thu Jan 13 19:03:54 2005 => Total Disinfected Files: 0
Thu Jan 13 19:03:54 2005 => Total Files Renamed: 0
Thu Jan 13 19:03:54 2005 => Total Deleted Files: 0
Thu Jan 13 19:03:54 2005 => Total Errors: 2
Thu Jan 13 19:03:54 2005 => Time Elapsed: 00:43:03
Thu Jan 13 19:03:54 2005 => Virus Database Date: 2005/01/12
Thu Jan 13 19:03:54 2005 => Virus Database Count: 115286

so etwas? na sowas, sind nog mehr als ich zählte

jovadi

@ jovadi

Sinnvoller wäre es fast, wenn du einen sauberen Schnitt machst und dein System neu aufsetzt. Eine Anleitung dazu findest du in meiner Signatur.

Alternativ:

Den Ordner C:\bases leeren, die alte Version von eScan (ftp://mwti.matrix.lv/download/tools/) runterladen, (diese löscht noch automatisch) wie beschrieben entpacken, updaten und scannen. Danach sicherst du dein System ab, indem du die Anleitung ab dem Punkt "Nach dem Neuaufsetzen..." befolgst.