hallo, ich habe grade gelesen, das jemanden den virus W32/krepper.ae gefixt hat. wer kann mir helfen, denn ich habe den selben virus in meinem pc.
den logs hab ich auch eingesehen, und habe ungefehr das zelbe. bitte hilfe.
greetzz Johan

Hallo,

"ungefähr dasselbe" nützt leider in diesen Zusammenhängen gar nix. Wir brauchen wirklich ganz exakt DEIN Log und außerdem wäre es wichtig, zu wissen, WO genau WELCHER Virenscanner diesen Schädling gefunden hat.

@jovadi
poste doch mal ein HJT logfile
download
anleitung
poste wie MountainKing schon schrieb, auch den pfad und virenscanner
moet je toch effe doen, anders heb het geen zin.
chaosman

also, ich trachtte dass zu machen was ihr sagt. hjt log und pfad.

Logfile of HijackThis v1.99.0
Scan saved at 18:12:50, on 10-1-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mihrfd9i94r2xzthd.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINDOWS\System32\mihrfd9i94r2xzthd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Local Settings\Temp\Tijdelijke map 2 voor hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\mihrfd9i94r2xzthd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O20 - AppInit_DLLs: 2p24d1cton2.dll
O23 - Service: Norman API-hooking helper - Unknown - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

soviel hab ich vorerst, den Pfad ist jedesmal wieder anders. Mein virus scanner ist Norman und Der findet auch immer( je 5 minuten) den virus KLEPPER (c:\windows\system32\vgz3lgh9g5m2j.dll) und (\\\du6vw6s43v6p5.dll) und immer mehr und mehr. When ich schliesse(um alles in quarantaine zu zetsen) dan muss ich das 11,17,18,20 x machen. Und es wiederholt sich nach 5 minuten.
grussss Johan

Deaktiviere die Systemwiederherstellung und fixe im abgesicherten Modus

http://www.trojaner-board.de/51130-a...bedeutet_FIXEN


die Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\mihrfd9i94r2xzthd.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - AppInit_DLLs: 2p24d1cton2.dll


Lösche die aufgeführten Dateien, starte in den normalen Modus, aktiviere die Wiederherstellung. Service Pack 2 solltest du installieren und außerdem den IE durch einen alternativen Browser wie opera oder firefox ersetzen.

vielen dank fur die Hilfe. Ich soll Morgen ihren Rat ausfuhren.
Ich sag ihn bescheid den Results.

Schuusss

moin-moin, danke für alle Hilfe, shadowdance und mountainking. Jetzt gehe Ich damit anfangen. Wenn Es klapt oder nicht , Ich meldde mich wieder.

Tchüsschen

also, pfffffft, Es waren 32456 virus scanned.wovon:
1: trojan Clicker.win32.small.bg
2 trojan win32.regger.j
32454: trojan win32.krepper.ae

nicht mehr!!!??

was soll ich jetzt machen?

grüsse
johan

@jovadi
poste doch mal folgendes
________________________________________
Öffne C:\bases\mwav.log
Am Ende folgendes suchen und hier rein kopieren:
Zitat:
Total Files Scanned:
Total Virus(es) Found:
Total Disinfected Files:
Total Files Renamed:
Total Deleted Files:
Total Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count:
chaosman

Thu Jan 13 19:03:54 2005 => Total Files Scanned: 39562
Thu Jan 13 19:03:54 2005 => Total Virus(es) Found: 34761
Thu Jan 13 19:03:54 2005 => Total Disinfected Files: 0
Thu Jan 13 19:03:54 2005 => Total Files Renamed: 0
Thu Jan 13 19:03:54 2005 => Total Deleted Files: 0
Thu Jan 13 19:03:54 2005 => Total Errors: 2
Thu Jan 13 19:03:54 2005 => Time Elapsed: 00:43:03
Thu Jan 13 19:03:54 2005 => Virus Database Date: 2005/01/12
Thu Jan 13 19:03:54 2005 => Virus Database Count: 115286

so etwas? na sowas, sind nog mehr als ich zählte

jovadi

@ jovadi

Sinnvoller wäre es fast, wenn du einen sauberen Schnitt machst und dein System neu aufsetzt. Eine Anleitung dazu findest du in meiner Signatur.

Alternativ:

Den Ordner C:\bases leeren, die alte Version von eScan (ftp://mwti.matrix.lv/download/tools/) runterladen, (diese löscht noch automatisch) wie beschrieben entpacken, updaten und scannen. Danach sicherst du dein System ab, indem du die Anleitung ab dem Punkt "Nach dem Neuaufsetzen..." befolgst.