Trojaner-Board - Trojanische Pferd TR/Krepper.Q

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojanische Pferd TR/Krepper.Q - Bitte helft mir!! (https://www.trojaner-board.de/10054-trojanische-pferd-tr-krepper-q-bitte-helft-mir.html)

Trojanische Pferd TR/Krepper.Q - Bitte helft mir!!

Hallo, ich habe mir einen Trojaner eingefangen namens TR/Krepper.Q :koch:

Norton Antivirus hat ihn erkannt aber leider konnte er nicht alle befallenen Dateien löschen.

Dann hab ichs mit Antivir probiert, dieser konnte aber auch nicht alles befallenen Dateien löschen die diese gesperrt sind.

Wenn ich mich ins Net logge, dann werde ich automatisch auf die Site
hxxp://t.swapx.cc/h.php?aid=31130 geführt.

Habe einen Scan mit Hijackthis gemacht poste hier den log:

Logfile of HijackThis v1.98.2
Scan saved at 01:29:08, on 25.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Deewoo\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = hxxp://win-eto.com/sp.htm?id=31130
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://win-eto.com/sp.htm?id=31130
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://win-eto.com/hp.htm?id=31130
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://win-eto.com/hp.htm?id=31130
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://lookfor.cc/sp.php?pin=32526
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://win-eto.com/hp.htm?id=31130
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://lookfor.cc?pin=32526
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://win-eto.com/sp.htm?id=31130
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = hxxp://www.web--search.com/to.php?ID1=531&ID2=117335003&ID3=324226114212&ID4=1&ID5={59CC87CC-434B-43FC-9CF8-B6A9BBDDC6A0}
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\webdlg32.dll
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\O32X2J~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\Downloaded Program Files\webdlg32.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\5bkptvjemzthd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Skype] "I:\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Internet Explorer Browser starten (2).lnk = C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - Startup: Opera (2).lnk = C:\Programme\Opera75\opera.exe
O4 - Startup: T-Online 5.0 (2).lnk = C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!hxxp://greg-tut.com/G7/chm10.chm::/ieloader.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - hxxp://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O20 - AppInit_DLLs: sb6regvwvnwv6el.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

(Teil 1)

(Teil 2)

dann habe ich mir escan runtergeladen und im abgesicherten Modus einen scan durchgeführt. Die infected-Dateien poste ich hier.

mwavlog-infected:

C:\WINDOWS\System32\s0kedj3noieg88.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\sb6regvwvnwv6el.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\O32X2J~1.DLL infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\5bkptvjemzthd.exe infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\stop.00009_4.exe infected by "TrojanClicker.Win32.Small.bg" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\5bkptvjemzthd.exe infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\cykb1ise4o15ljl.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\dikpfosbdtixxjl.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\f7ob3ylls0u9g.dll infected by "Trojan-Downloader.Win32.Small.rr" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\j1xg7ylkon1do8l.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\kz5mt6p243gn5ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\o32x2j5u9v5e.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\s0kedj3noieg88.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\sb6regvwvnwv6el.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\ubv3vdf8xliw1ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\Deewoo\LOKALE~1\Temp\28031.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\Deewoo\LOKALE~1\Temp\30578.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\Deewoo\LOKALE~1\TEMPOR~1\Content.IE5\3U0BBLCP\stop.00009_4[1].exe infected by "TrojanClicker.Win32.Small.bg" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\Deewoo\LOKALE~1\TEMPOR~1\Content.IE5\3U0BBLCP\tbd_web[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\Deewoo\LOKALE~1\TEMPOR~1\Content.IE5\E36DSXEJ\main[1].exe infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\Deewoo\LOKALE~1\TEMPOR~1\Content.IE5\QXKBQPW1\ieloader[1].exe infected by "Trojan-Downloader.Win32.Small.rr" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Deewoo\Lokale Einstellungen\Temp\28031.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Deewoo\Lokale Einstellungen\Temp\30578.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Deewoo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3U0BBLCP\stop.00009_4[1].exe infected by "TrojanClicker.Win32.Small.bg" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Deewoo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3U0BBLCP\tbd_web[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Deewoo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E36DSXEJ\main[1].exe infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Deewoo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QXKBQPW1\ieloader[1].exe infected by "Trojan-Downloader.WC:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\05BF13F4.exe infected by "Trojan.Win32.Regger.j" Virus. Action Taken: No Action Taken.in32.Small.rr" Virus. Action Taken: No Action Taken.

(Fortsetzung im 3 Teil)

(Teil 3 Fortsetzung)

C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\4EAD0E8E.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\4F1C2213.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP50\A0009502.exe infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP50\A0009503.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP50\A0009504.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP50\A0009505.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP50\A0009506.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP50\A0009517.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP50\A0009939.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP50\A0010479.exe infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP50\A0010699.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP50\A0010840.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0010863.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0010864.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0010864.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0011342.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0012342.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0012500.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0012501.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0012502.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0012503.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0012504.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0012522.exe infected by "TrojanClicker.Win32.Small.bg" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0012564.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0012565.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP51\A0012566.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP52\A0012582.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP52\A0013564.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP52\A0013565.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP52\A0013581.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP52\A0013601.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP52\A0013602.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{DC753293-067B-4EE1-A424-39AE78149913}\RP52\A0013603.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\stop.00009_4.exe infected by "TrojanClicker.Win32.Small.bg" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\5bkptvjemzthd.exe infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken
C:\WINDOWS\system32\cykb1ise4o15ljl.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\dikpfosbdtixxjl.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\f7ob3ylls0u9g.dll infected by "Trojan-Downloader.Win32.Small.rr" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\j1xg7ylkon1do8l.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\kz5mt6p243gn5ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\o32x2j5u9v5e.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\s0kedj3noieg88.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\sb6regvwvnwv6el.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

(Fortsetzung im 4 Teil)

(Teil 4 Fortsetzung)

C:\WINDOWS\system32\ubv3vdf8xliw1ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
Scanning Folder: I:\Programme\AVPersonal\INFECTED\*.*
File I:\Programme\AVPersonal\INFECTED\FTIDU2LCJ31SK.DLL.VIR
I:\Programme\AVPersonal\INFECTED\FTIDU2LCJ31SK.DLL.VIR infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
File I:\Programme\AVPersonal\INFECTED\GX6ML6D6OP.DLL.VIR
I:\Programme\AVPersonal\INFECTED\GX6ML6D6OP.DLL.VIR infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
I:\Programme\AVPersonal\INFECTED\HWP8FMLWWP.DLL.VIR
I:\Programme\AVPersonal\INFECTED\HWP8FMLWWP.DLL.VIR infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
I:\Programme\AVPersonal\INFECTED\LGH9G5M2JU7DU.DLL.VIR
I:\Programme\AVPersonal\INFECTED\LGH9G5M2JU7DU.DLL.VIR infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
I:\Programme\AVPersonal\INFECTED\LJ9YKDOMOW.DLL.VIR
I:\Programme\AVPersonal\INFECTED\LJ9YKDOMOW.DLL.VIR infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
I:\Programme\AVPersonal\INFECTED\VW6S43V6P593B9.DLL.VIR
I:\Programme\AVPersonal\INFECTED\VW6S43V6P593B9.DLL.VIR infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\stop.00009_4.exe infected by "TrojanClicker.Win32.Small.bg" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\5bkptvjemzthd.exe infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\cykb1ise4o15ljl.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\dikpfosbdtixxjl.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\f7ob3ylls0u9g.dll infected by "Trojan-Downloader.Win32.Small.rr" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\j1xg7ylkon1do8l.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\kz5mt6p243gn5ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\o32x2j5u9v5e.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\s0kedj3noieg88.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\sb6regvwvnwv6el.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\ubv3vdf8xliw1ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

Thu Nov 25 00:31:45 2004 => Total Files Scanned: 68614
Thu Nov 25 00:31:46 2004 => Total Virus(es) Found: 91
Thu Nov 25 00:31:46 2004 => Total Disinfected Files: 0
Thu Nov 25 00:31:46 2004 => Total Files Renamed: 0
Thu Nov 25 00:31:46 2004 => Total Deleted Files: 0
Thu Nov 25 00:31:46 2004 => Total Errors: 2
Thu Nov 25 00:31:46 2004 => Time Elapsed: 00:35:07
Thu Nov 25 00:31:46 2004 => Virus Database Date: 2004/11/24
Thu Nov 25 00:31:46 2004 => Virus Database Count: 110412

Thu Nov 25 00:31:46 2004 => Scan Completed.

Bitte bitte hoffentlich könnt ihr mir helfen ich verzweifle langsam. :headbang:

Danke schon mal im voraus.
Deewoo

Hallo,
den gleichen Trojaner hatte ich auch bei mir auf dem Rechner. Hab mir auf der Homepage von Lavasoft das Spywareprogramm Ad-Aware SE Personal (ca 4 MB) runtergeladen und mit dem hab ich den Trojaner losbekommen. Viel Erfolg! :D

Hallo, danke für den Tipp. Ich habs auch schon gemacht mit mäßigem Efolg. Der Virus ist zwar noch da, aber wenigstens wird nicht immer die Seite angewählt und ich kann wieder meine eigene Startseite wählen.

Leider ist damit mein Problem noch nicht gelöst.

Dein Windows ist ohne Patches, besuche Windowsupdate und installiere alle Sicherheitspatches, am besten gleich Service Pack 2.
Hole dir www.clearprog.de und lösche deine temporären Dateien, dann deaktiviere die Systemwiederherstellung, boote neu und aktiviere sie wieder. Lösche den inhalt der Quarantäne-Ordner von Antivir und Norton. Dann lösche die übriggebliebenen von E-Scan identifizierten Schädlingsdateien per Hand im abgesicherten Modus und erstelle ein neues Logfile.

Hallo habe des gemacht, jetzt scheint der größte Teil entfernt worden zu sein,
Norton und Antivir haben keinerlei Virus mehr gefunden, allerdings hat escan im abgesicherten Modus, noch 2 Dateien gefunden die sich nicht löschen lassen.

Ich poste hier mal den Log von hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 02:15:39, on 26.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
C:\WINDOWS\System32\ctfmon.exe
I:\Phone\Skype.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
I:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Deewoo\LOKALE~1\Temp\Rar$EX00.172\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web--search.com/to.php?ID1=531&ID2=117335003&ID3=324226114212&ID4=1&ID5={59CC87CC-434B-43FC-9CF8-B6A9BBDDC6A0}
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Skype] "I:\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Internet Explorer Browser starten (2).lnk = C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - Startup: Opera (2).lnk = C:\Programme\Opera75\opera.exe
O4 - Startup: T-Online 5.0 (2).lnk = C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101421434078
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D2E3980-56C2-4D8C-A8F3-336FACBCDFFB}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D2E3980-56C2-4D8C-A8F3-336FACBCDFFB}: NameServer = 217.237.151.97 217.237.150.33
O20 - AppInit_DLLs: ho7r3x4ti2y7wpl.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

Hallo DeeWoo,

hast Du diese Schritte berücksichtigt, um die Dateien von Hand zu löschen?

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Versuche es bitte damit. Scanne dann nochmal mit dem neu geupdateten eScan offline im abgesicherten Modus und lass uns wissen, ob noch Malware auf Deinem System gefunden worden ist. Bitte update Dein System und Deinen Browser.

SD