Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Krepper.C (https://www.trojaner-board.de/6428-tr-krepper-c.html)

TheD4rKSide81 21.07.2004 16:16
TR/Krepper.C
 
Hi Leute,

mein AntiVir hat den o.g. Trojaner gefunden, wie krieg ich das Teil wieder los ?

Gruß

TheD4rKSide81

Hier mein Logfile von Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 17:00:48, on 21.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVWIN.EXE
F:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.ebay.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...147.1830324074
O17 - HKLM\System\CCS\Services\Tcpip\..\{07837E0C-6EB7-4A1E-AA50-1C06C8EED6D5}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{07837E0C-6EB7-4A1E-AA50-1C06C8EED6D5}: NameServer = 192.168.1.1


und hier noch von AntiVir:


C:\
PAGEFILE.SYS
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WININST
WIN98_23.CAB
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
WIN98_24.CAB
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\WINDOWS
preInsTT.exe
Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
C:\WINDOWS\SYSTEM32\config
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp
optimize.exe
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ist_install.exe
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\THI2DDF.tmp
twaintec.cab
ArchiveType: CAB (Microsoft)
--> twaintec.dll
[FUND!] Ist das Trojanische Pferd TR/Krepper.C
--> preInsTT.exe
Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
twaintec.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
preInsTT.exe
Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
C:\System Volume Information\_restore{F6B2E564-015F-4FCF-9E27-AB3057931390}\RP47
A0020000.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

F:\Treiber\Win98\Asus\BIOS
1009.zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt

mav1976 21.07.2004 21:34
hi TheD4rKSide81,

das log sieht imho sauber aus.

allerding würde ich dir raten, dein win x zu warten. sprich: temporäre internet files [tif´s] löschen, datenträgerbereinigung, tempfolder leeren etc. das komplette programm.

dann bist du auch die meldung über den trojaner los. ;)

TheD4rKSide81 23.07.2004 14:13
Hi mav1976,

danke für die Antwort, dann bin ich den Krepper also los ?
Tempfiles usw. hab ich gelöscht !

Gruß

TDS81

rolligirl 07.08.2004 14:52
Hallo!

Ich habe mit Antivir diesen hier gefunden...

PMS/Dldr.Krepper.1

Und mein Logfile mit HJT:

Logfile of HijackThis v1.98.0
Scan saved at 15:51:06, on 07.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Elvira Dreiers\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~2\bin\resources\WebMenuImg.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/game.../y/t21t0_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt3_x.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...82/mcfscan.cab


_______________________________________

Wäre toll, wenn mir da jemand helfen könnte...

LG, rolligirl

Rene-gad 07.08.2004 15:54
Hallo Elvira
Zitat:
Ich habe mit Antivir diesen hier gefunden...
PMS/Dldr.Krepper.1
Wo genau wurde den Virus gefunden/gemeldet? Pfandangaben sind wichtig.
In deinem Log sehe ich nichts besonders Schlimmes. Gibt es Probleme? Grundsatzlich wäre es gut, wenn du einen anderen Browser zum Surfen verwendest: Mozilla, Firefox oder Opera.

rolligirl 10.08.2004 08:34
Hallo!

Ich heiße übrigens Dani *g*

alsoooo... ich mache gerade nochmal nen Scan... im Bericht kann ich dann den Pfad spätestens erkennen?

LG, rolligirl

rolligirl 10.08.2004 09:01
Soo. habe nen Neustart gemacht und dann kam diese Meldung:

Fehler beim Laden von C:/Programme/WildTangent/Apps/CDA/cdaEngine.dll

Das angegebene Modul wurde nicht gefunden...

Mit Spybot hab ich schon drei passende Einträge dazu entfernt... ist noch die Registrierung drin, oder? wie kann ich das nochmal wegbekommen?

LG, rolligirl

MountainKing 10.08.2004 09:22
Diese Wildtangent-Sachen enthalten offensichtlich Bundlesoftware, die als Spyware identifiziert und gelöscht wird:

http://www.kephyr.com/spywarescanner...nt/index.phtml

Das kann erstens dazu führen, dass das Originalprogramm nicht mehr funktioniert und zweitens steht bei dir offensichtlich noch ein Eintrag in der Startupliste, der jetzt nicht mehr gefunden wird (diese Meldung kommt doch beim Systemstart, oder?).

Hol dir mal das nette kleine Programm und schau nach, ob du irgendwo einen entsprechenden Eintrag (WildTangent, CDA oder so) findest:

http://www.mlin.net/files/StartupCPL_EXE.zip

rolligirl 10.08.2004 09:37
genau... beim Neustart kommt diese Meldung immer wieder... hol mir das Programm mal...

LG, rolligirl

___________

was muss ich denn da machen? da steht einmal in der Registry was mit WildTangent... da war ein Haken dran und den hab ich weggemacht...

MountainKing 10.08.2004 09:56
Was meinst du denn mit Registry? Wenn du eine der Auflistungen bei Startuplist (also unter HKCU/Run oder HKLM/Run usw.) meinst und du den Haken dort weggemacht hast, sollte nach einem Reboot die Meldung nicht mehr erscheinen.

rolligirl 10.08.2004 11:35
Habe hier ein Logfile von Antivir, kann es aber net posten, weils zu lang ist... kann ich das irgendjemandem per Mail schicken?

LG, rolligirl

*Christian* 10.08.2004 19:32
Was hat denn jetzt eScan gesagt?

rolligirl 13.08.2004 14:06
habs schon wegbekommen.... DANKE!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131