|
Plagegeister aller Art und deren Bekämpfung: Trojaner Problem!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.05.2004, 00:27 | #1 |
| Trojaner Problem!! Hi, Also ich habe gehört das dieses forum sehr gut sein soll also habe ich mir gedacht ich poste mal mein problem hier rein! Ich wusste halt nicht wo, deswegens habe ich es mal hier rein gepostet!!! Naja mein Problem ist das ich den TR/Krepper.C auf meinem rechner habe und dies nervt sehr stark! Genauso mit dem Browser, da kommt immer so eine dowe search site und andauernd so kak popups die sagen ich wäre nicht clean, ich sollte da draufklicken! Naja mache ich aber nicht! Naja meine Antivir programme können dies auch nicht löschen! Und die AntiVir Programme sagen das der trojaner in einer twaintec.cab drinnen ist! Naja ich habe auch kurzer hand gesehn das ihr so ein prog benutzt naja deswegens habe ich es mal geloadet. Hier sind die daten: Logfile of HijackThis v1.97.7 Scan saved at 01:25:42, on 23.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE D:\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe D:\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\LXSUPMON.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe D:\ICQLite\ICQLite.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\Programme\MSN Messenger\MsnMsgr.Exe D:\ScannerU\AM32.exe C:\Programme\Motherboard Monitor 5\MBM5.exe D:\Microsoft Office\Office10\msoffice.exe D:\INCRED~1\bin\IMApp.exe C:\WINDOWS\System32\cidaemon.exe D:\Opera7\Opera.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe D:\totalcmd\TOTALCMD.EXE C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\_tc\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\flpcng.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\flpcng.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\flpcng.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\flpcng.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\flpcng.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\flpcng.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.1682.1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {794238D8-5E5C-473F-BBED-3F772386308B} - C:\WINDOWS\System32\flpcng.dll O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [RegisterDropHandler] D:\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [CloneCDTray] "D:\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [ICQ Lite] D:\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [RunDLL32] C:\WINDOWS\System32\fvsx.exe O4 - HKLM\..\RunServices: [RegisterDropHandler] D:\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKLM\..\RunServices: [RunDLL32] C:\WINDOWS\System32\fvsx.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [IncrediMail] D:\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Steam] D:\Steam\Steam.exe -silent O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot O4 - Startup: Verknüpfung mit MBM5.lnk = C:\Programme\Motherboard Monitor 5\MBM5.exe O4 - Global Startup: Action Manager 32.lnk = D:\ScannerU\AM32.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: WebSpeech (HKLM) O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DBC20B60-9552-4AAA-AF90-E10658E9AEC3}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{EAF66D83-269E-4216-ACD1-4BCD9B90838B}: NameServer = 192.168.2.1 ------------------------------------------------- Ich hoffe das ich bald das zeugs weg habe!! Danke im vorraus Edit: Fette gedruckte ist behoben die search kakke ist weg!! Nur ist noch das trojanische pferd drinnen und das nervt!! Wie kriege ich das weg? [ 23. Mai 2004, 02:27: Beitrag editiert von: SkyTrace X ] |
23.05.2004, 09:25 | #2 |
Trojaner Problem!! Hallo 'SkyTrace X' und wilkkommen im Board,
__________________</font><blockquote>Zitat:</font><hr /> ...das der trojaner in einer twaintec.cab drinnen ist! </font>[/QUOTE]Wo (also in welchem Pfad) befindet sich die Datei twaintec.cab? </font><blockquote>Zitat:</font><hr />Fette gedruckte ist behoben die search kakke ist weg!!</font>[/QUOTE]Wenn diese Probleme nach einem Neustart des Rechners wiederkommen, solltest Du mal diesen Cleaner ausprobieren.
__________________ |
23.05.2004, 14:21 | #3 |
| Trojaner Problem!! Also das problem mit den search sites ist behoben! Es kam auch nicht mehr beim neustart! Naja das trojaner ist unter C:/WINDOWS aber das cab archiv findet man nicht es ist verknüpft! Ich werde mal suchen gehn aber ich brauche unbedingt hilfe will diesen trojaner wegbekommen! MFG SkyTrace X
__________________ |
23.05.2004, 14:33 | #4 |
| Trojaner Problem!! C:\Dokumente und Einstellungen\Zensiert\Lokale Einstellungen\Temp\THI1A8C.tmp twaintec.cab ArchiveType: CAB (Microsoft) --> twaintec.dll [FUND!] Ist das Trojanische Pferd TR/Krepper.C hab den pfad von der dátei!! |
23.05.2004, 14:37 | #5 |
| Trojaner Problem!! Löschen: O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll Trojaner: O4 - HKLM\..\Run: [RunDLL32] C:\WINDOWS\System32\fvsx.exe O4 - HKLM\..\RunServices: [RunDLL32] C:\WINDOWS\System32\fvsx.exe Such mal auf dem System nach: fvsx.exe Des Weiteren: - Browsercache leeren. - Keinen IE mehr nutzen. |
23.05.2004, 14:44 | #6 |
| Trojaner Problem!! danke werde es versuchen!! Welche Browser wäre den gut? Ich habe vorsichtshalber mal Opera auf dem rechner drauf! Nur der is bei manchen sachen nicht so gut!! Welchen benutzt ihr? |
23.05.2004, 14:51 | #7 |
| Trojaner Problem!! MM dieser fv... .exe ist mein trojaner der kann nichts anhaben den habe ich auch gestern gelöscht!! Nur der andere trojaner der lässt sich einfach nicht löschen!!!! dieser TR/KREPPER.C Edit: DIese exe ist auch nicht mehr vorhanden!!! |
23.05.2004, 15:38 | #8 |
| Trojaner Problem!! Also ich habe jetzt beim temp ordner unter windows also doko u. einstellungen und temp diesen ordner komplett gelöscht !!! diese datei ist nicht mehr vorhanden!!! Ich denke das jetzt das trojaner nicht mehr da is! Hoffe ich mal MFG SkyTrace X |
Themen zu Trojaner Problem!! |
adobe, antivir, antivirus, bho, browser, danke, excel, explorer, google, hijack, hijackthis, internet, internet explorer, meinem, monitor, nicht, nvcpl.dll, obfuscated, object, opera, popups, problem, rundll, shockwave, software, sun java, symantec, system, tcpip, temp, trojaner, windows, windows xp |