Trojaner-Board - TR Dldr.Krepper.3

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR Dldr.Krepper.3 (https://www.trojaner-board.de/8815-tr-dldr-krepper-3-a.html)

TR Dldr.Krepper.3

Hallo!
Ich brauche dringend Hilfe!

Habe gestern mind. 40 Viren auf meinen Rechner bekommen. Hauptsächlich irgendwelche Würmer.. (Bazillen:-)
Habe versucht mit dem Norton diese zu bekämpfen.. Ging nicht, sobald ich auf Norton System überprüfen geklickt habe, verschwand das Programm auf einmal.. Dann habe ich es deinstalliert. Habe mir vorhin das Anti Vir runtergeladen und eine Prüfung durchlaufen lassen. Er hat fast alle gelöscht oder repariert. Aber das Schlimmste ist noch drauf.
TR/Dldr.Krepper.3 Das kann das Anti Vir nicht löschen, weil es im Archivordner sei. Nebenbei ist unter meinen Internetoptionen folgende Seite als Standardseite eingegeben http://www.buldog-search.com/ Ich kann das auch nicht ändern. Es wird keine andere Seite akzeptiert. Und wenn ich wie jetzt im Internet bin, dann öffnet sich diese doofe Seite ständig und gibt mir noch Würmer.. Manno.. ich bin echt sauer..Und gestern hatte ich auf meinem Desktop den Dialer "Sexy Ladys" habe ihn oft gelöscht, aber sobald ich ins Internet gehe, kommt er wieder.. Was soll ich denn jetzt tun? Ich habe Windows 2000. Bin aber mit einem anderen PC vernetzt über ne Netzwerkkarte. Dieser andere PC hat Windows XP. Und ich bin fest davon überzeugt, dass es an diesem anderen PC liegt. Weil ich seit dem ich 2000 hatte, nie Viren hatte, jetzt auf einmal..

WAs soll ich jetzt tun?? Helft mir bitte...

Gruss

@Internetproblem

lade dir HJT
http://www.trojaner-board.de/51130-a...ijackthis.html
mache ein scan, poste das logfile anschließend hier im board

mehr info über Krepper
http://www.sophos.de/virusinfo/analy...jkrepperi.html

chaosman

wenn ich auf diese seite gehe, auf download klicke, dann führt mich das zu einer seite, wo man high speed flaterate anklicken soll.. hat ja nix mit der datei zutun oder? da steht auch was von bezahlen.. kostet das etwas??

den low speed download benutzen, der is umsonst.

Ansonste www.hijackthis.de (dort auf direktdownload klicken)

ich habe es jetzt hinbekommen, dieses Programm downzuladen und auszuführen, dennoch kann ich bei den Internetoptionen nicht die Standardseite ändern. Und jedesmal wenn ich im Internet bin öffnet sich diese komische Seite von dem Dailer.. Ich klicke sie zwar sofort wieder weg, aber es bringt nix.. Ich bin jetzt über dem Broser Mozilla drin, bringt aber auch nix.. manno.. was soll denn noch machen?

Du sollst auch erstmal nur das Logfile von Hijackhis hier posten

Logfile of HijackThis v1.98.2
Scan saved at 21:26:15, on 25.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Program Files\Win Comm\WinComm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\DOKUME~1\SMILJA~1\LOKALE~1\Temp\mshtm.exe
C:\PROGRA~1\MICROS~3\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla.org\Firebird\MozillaFirebird.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.buldog-search.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.buldog-search.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINNT\questmod.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKCU\..\Run: [Update] C:\DOKUME~1\SMILJA~1\LOKALE~1\Temp\mshtm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv55/x.chm::/load.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...d780358bc5840b
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2004496B-BB98-499B-A9F7-003EA65B5F91}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2004496B-BB98-499B-A9F7-003EA65B5F91}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2004496B-BB98-499B-A9F7-003EA65B5F91}: NameServer = 192.168.0.1

könnt ihr mir helfen, ich mein werdet ihr aus den daten schlau? Das sind für mich ganz komplizierte Angaben, zumal ich von sowas nicht gerade die ahnung habe.. Ich wäre euch wirklich furchtbar dankbar.. sorry, dass ich so kurz und knapp schreibe, aber ich habe angst mich lange im net aufzuhalten

Spybot-Forschung. Arbeite das Tutorial Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "Beschreibung eingeben-TBOARD" mit Hinweis auf den betreffenden Thread.

Teste diese Datei: C:\Program Files\Win Comm\WinComm.exe

hier: http://virusscan.jotti.org/de

Ergebnis?

E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.buldog-search.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.buldog-search.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINNT\questmod.dll (file missing)
O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKCU\..\Run: [Update] C:\DOKUME~1\SMILJA~1\LOKALE~1\Temp\mshtm.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv55/x.chm::/load.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...1d780358bc5840b

Lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.

E scan scant zwar durch, zeigt mir auch die Viren an, aber ich soll auf escan "kaufen" wenn ich möchte das er die Viren löscht.. Und nun??

@Internetproblem
Arbeitsplatz, Extras, Ordneroptionen, Ansicht, alle dateien und ordner anzeigen aktivieren

chaosman

das ist bei mir bereits aktiviert gewesen..

den abgesicherten modus kann ich auch nicht aktivieren, da die Beschreibung für xp ist und nicht für 2000. für 2000 steht keine beschreibung zur auswahl.. ich dreh gleich durch