Trojaner Problem!!

SkyTrace X · 23.05.2004, 00:27

Hi,
Also ich habe gehört das dieses forum sehr gut sein soll also habe ich mir gedacht ich poste mal mein problem hier rein! Ich wusste halt nicht wo, deswegens habe ich es mal hier rein gepostet!!!
Naja mein Problem ist das ich den TR/Krepper.C auf meinem rechner habe und dies nervt sehr stark! Genauso mit dem Browser, da kommt immer so eine dowe search site und andauernd so kak popups die sagen ich wäre nicht clean, ich sollte da draufklicken! Naja mache ich aber nicht! Naja meine Antivir programme können dies auch nicht löschen! Und die AntiVir Programme sagen das der trojaner in einer twaintec.cab drinnen ist! Naja ich habe auch kurzer hand gesehn das ihr so ein prog benutzt naja deswegens habe ich es mal geloadet. Hier sind die daten:
Logfile of HijackThis v1.97.7
Scan saved at 01:25:42, on 23.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\ScannerU\AM32.exe
C:\Programme\Motherboard Monitor 5\MBM5.exe
D:\Microsoft Office\Office10\msoffice.exe
D:\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\cidaemon.exe
D:\Opera7\Opera.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
D:\totalcmd\TOTALCMD.EXE
C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\flpcng.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\flpcng.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\flpcng.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\flpcng.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\flpcng.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\flpcng.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.1682.1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {794238D8-5E5C-473F-BBED-3F772386308B} - C:\WINDOWS\System32\flpcng.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [RegisterDropHandler] D:\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ICQ Lite] D:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RunDLL32] C:\WINDOWS\System32\fvsx.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] D:\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE
O4 - HKLM\..\RunServices: [RunDLL32] C:\WINDOWS\System32\fvsx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [IncrediMail] D:\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] D:\Steam\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Verknüpfung mit MBM5.lnk = C:\Programme\Motherboard Monitor 5\MBM5.exe
O4 - Global Startup: Action Manager 32.lnk = D:\ScannerU\AM32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBC20B60-9552-4AAA-AF90-E10658E9AEC3}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAF66D83-269E-4216-ACD1-4BCD9B90838B}: NameServer = 192.168.2.1

-------------------------------------------------
Ich hoffe das ich bald das zeugs weg habe!! Danke im vorraus
Edit: Fette gedruckte ist behoben die search kakke ist weg!! Nur ist noch das trojanische pferd drinnen und das nervt!! Wie kriege ich das weg?

[ 23. Mai 2004, 02:27: Beitrag editiert von: SkyTrace X ]

Lutz · 23.05.2004, 09:25

Hallo 'SkyTrace X' und wilkkommen im Board,

<blockquote>Zitat:<hr /> ...das der trojaner in einer twaintec.cab drinnen ist! [/QUOTE]Wo (also in welchem Pfad) befindet sich die Datei twaintec.cab?

<blockquote>Zitat:<hr />Fette gedruckte ist behoben die search kakke ist weg!![/QUOTE]Wenn diese Probleme nach einem Neustart des Rechners wiederkommen, solltest Du mal diesen Cleaner ausprobieren.

SkyTrace X · 23.05.2004, 14:21

Also das problem mit den search sites ist behoben! Es kam auch nicht mehr beim neustart! Naja das trojaner ist unter C:/WINDOWS aber das cab archiv findet man nicht es ist verknüpft! Ich werde mal suchen gehn aber ich brauche unbedingt hilfe will diesen trojaner wegbekommen! MFG SkyTrace X

SkyTrace X · 23.05.2004, 14:33

C:\Dokumente und Einstellungen\Zensiert\Lokale Einstellungen\Temp\THI1A8C.tmp
twaintec.cab
ArchiveType: CAB (Microsoft)
--> twaintec.dll
[FUND!] Ist das Trojanische Pferd TR/Krepper.C

hab den pfad von der dátei!!

mmk · 23.05.2004, 14:37

Löschen:

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll

Trojaner:

O4 - HKLM\..\Run: [RunDLL32] C:\WINDOWS\System32\fvsx.exe
O4 - HKLM\..\RunServices: [RunDLL32] C:\WINDOWS\System32\fvsx.exe

Such mal auf dem System nach:

fvsx.exe

Des Weiteren:
- Browsercache leeren.
- Keinen IE mehr nutzen.

SkyTrace X · 23.05.2004, 14:44

danke werde es versuchen!! Welche Browser wäre den gut? Ich habe vorsichtshalber mal Opera auf dem rechner drauf! Nur der is bei manchen sachen nicht so gut!! Welchen benutzt ihr?

SkyTrace X · 23.05.2004, 14:51

MM dieser fv... .exe ist mein trojaner der kann nichts anhaben den habe ich auch gestern gelöscht!! Nur der andere trojaner der lässt sich einfach nicht löschen!!!! dieser TR/KREPPER.C
Edit: DIese exe ist auch nicht mehr vorhanden!!!

SkyTrace X · 23.05.2004, 15:38

Also ich habe jetzt beim temp ordner unter windows also doko u. einstellungen und temp diesen ordner komplett gelöscht !!! diese datei ist nicht mehr vorhanden!!! Ich denke das jetzt das trojaner nicht mehr da is! Hoffe ich mal
MFG SkyTrace X

Trojaner Problem!!

Plagegeister aller Art und deren Bekämpfung: Trojaner Problem!!