|
Plagegeister aller Art und deren Bekämpfung: TR/Krepper.CWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.07.2004, 16:16 | #1 |
| TR/Krepper.C Hi Leute, mein AntiVir hat den o.g. Trojaner gefunden, wie krieg ich das Teil wieder los ? Gruß TheD4rKSide81 Hier mein Logfile von Hijackthis: Logfile of HijackThis v1.97.7 Scan saved at 17:00:48, on 21.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVWIN.EXE F:\Programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.ebay.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...147.1830324074 O17 - HKLM\System\CCS\Services\Tcpip\..\{07837E0C-6EB7-4A1E-AA50-1C06C8EED6D5}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{07837E0C-6EB7-4A1E-AA50-1C06C8EED6D5}: NameServer = 192.168.1.1 und hier noch von AntiVir: C:\ PAGEFILE.SYS Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WININST WIN98_23.CAB ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) WIN98_24.CAB ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\WINDOWS preInsTT.exe Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt. C:\WINDOWS\SYSTEM32\config SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SYSTEM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SOFTWARE Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! DEFAULT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp optimize.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ist_install.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\THI2DDF.tmp twaintec.cab ArchiveType: CAB (Microsoft) --> twaintec.dll [FUND!] Ist das Trojanische Pferd TR/Krepper.C --> preInsTT.exe Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt. twaintec.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! preInsTT.exe Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt. C:\System Volume Information\_restore{F6B2E564-015F-4FCF-9E27-AB3057931390}\RP47 A0020000.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! F:\Treiber\Win98\Asus\BIOS 1009.zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt |
21.07.2004, 21:34 | #2 |
Gast | TR/Krepper.C hi TheD4rKSide81,
__________________das log sieht imho sauber aus. allerding würde ich dir raten, dein win x zu warten. sprich: temporäre internet files [tif´s] löschen, datenträgerbereinigung, tempfolder leeren etc. das komplette programm. dann bist du auch die meldung über den trojaner los. |
23.07.2004, 14:13 | #3 |
| TR/Krepper.C Hi mav1976,
__________________danke für die Antwort, dann bin ich den Krepper also los ? Tempfiles usw. hab ich gelöscht ! Gruß TDS81 |
07.08.2004, 14:52 | #4 |
| TR/Krepper.C Hallo! Ich habe mit Antivir diesen hier gefunden... PMS/Dldr.Krepper.1 Und mein Logfile mit HJT: Logfile of HijackThis v1.98.0 Scan saved at 15:51:06, on 07.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\WINDOWS\System32\RUNDLL32.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVWIN.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Elvira Dreiers\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~2\bin\resources\WebMenuImg.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: Tornado 21 - http://download.games.yahoo.com/game.../y/t21t0_x.cab O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt3_x.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylomgames.com/activex/zylomloader.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...82/mcfscan.cab _______________________________________ Wäre toll, wenn mir da jemand helfen könnte... LG, rolligirl |
07.08.2004, 15:54 | #5 | |
| TR/Krepper.C Hallo Elvira Zitat:
In deinem Log sehe ich nichts besonders Schlimmes. Gibt es Probleme? Grundsatzlich wäre es gut, wenn du einen anderen Browser zum Surfen verwendest: Mozilla, Firefox oder Opera. |
10.08.2004, 08:34 | #6 |
| TR/Krepper.C Hallo! Ich heiße übrigens Dani *g* alsoooo... ich mache gerade nochmal nen Scan... im Bericht kann ich dann den Pfad spätestens erkennen? LG, rolligirl |
10.08.2004, 09:01 | #7 |
| TR/Krepper.C Soo. habe nen Neustart gemacht und dann kam diese Meldung: Fehler beim Laden von C:/Programme/WildTangent/Apps/CDA/cdaEngine.dll Das angegebene Modul wurde nicht gefunden... Mit Spybot hab ich schon drei passende Einträge dazu entfernt... ist noch die Registrierung drin, oder? wie kann ich das nochmal wegbekommen? LG, rolligirl |
10.08.2004, 09:22 | #8 |
| TR/Krepper.C Diese Wildtangent-Sachen enthalten offensichtlich Bundlesoftware, die als Spyware identifiziert und gelöscht wird: http://www.kephyr.com/spywarescanner...nt/index.phtml Das kann erstens dazu führen, dass das Originalprogramm nicht mehr funktioniert und zweitens steht bei dir offensichtlich noch ein Eintrag in der Startupliste, der jetzt nicht mehr gefunden wird (diese Meldung kommt doch beim Systemstart, oder?). Hol dir mal das nette kleine Programm und schau nach, ob du irgendwo einen entsprechenden Eintrag (WildTangent, CDA oder so) findest: http://www.mlin.net/files/StartupCPL_EXE.zip |
10.08.2004, 09:37 | #9 |
| TR/Krepper.C genau... beim Neustart kommt diese Meldung immer wieder... hol mir das Programm mal... LG, rolligirl ___________ was muss ich denn da machen? da steht einmal in der Registry was mit WildTangent... da war ein Haken dran und den hab ich weggemacht... |
10.08.2004, 09:56 | #10 |
| TR/Krepper.C Was meinst du denn mit Registry? Wenn du eine der Auflistungen bei Startuplist (also unter HKCU/Run oder HKLM/Run usw.) meinst und du den Haken dort weggemacht hast, sollte nach einem Reboot die Meldung nicht mehr erscheinen. |
10.08.2004, 11:35 | #11 |
| TR/Krepper.C Habe hier ein Logfile von Antivir, kann es aber net posten, weils zu lang ist... kann ich das irgendjemandem per Mail schicken? LG, rolligirl |
10.08.2004, 19:32 | #12 |
Gast | TR/Krepper.C Was hat denn jetzt eScan gesagt? |
13.08.2004, 14:06 | #13 |
| TR/Krepper.C habs schon wegbekommen.... DANKE!! |
Themen zu TR/Krepper.C |
adobe, antivir, asus, avg, bho, dll, einstellungen, explorer, fehler, gesperrt, hijack, hijackthis, internet, internet explorer, logfile, mehrere, microsoft, nvcpl.dll, programme, rojaner gefunden, rundll, software, system, tcpip, trojaner, trojaner gefunden, warnung, windows, windows xp, zugriff verweigert |