| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Stubby ; TR/Click.Krepper ; TR/Dldr.Krepper.3 ; Brauche Hilfe !Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.10.2004, 01:22
| #1 |
| |  TR/Dldr.Stubby ; TR/Click.Krepper ; TR/Dldr.Krepper.3 ; Brauche Hilfe ! hi , hab probleme mit folgenden Trojanern : TR/Click.Krepper TR/Dldr.Krepper.3 TR/Dldr.Stubby.C Ich poste mal meinen log : Logfile of HijackThis v1.98.2 Scan saved at 02:24:02, on 24.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\programme\Motherboard Monitor 5\MBM5.EXE C:\Program Files\Win Comm\WinComm.exe D:\Program Files\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe D:\PROGRA~1\ICQ_PR~1\ICQ\ICQ.exe D:\Program Files\AVPersonal\AVGUARD.EXE D:\Program Files\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Windows Media Player\wmplayer.exe C:\Program Files\Internet Explorer\iexplore.exe D:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwww.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwww.com/bar.html O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll (file missing) O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ_PR~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [MBM 5] "D:\programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe O4 - HKLM\..\Run: [goalkixo] C:\WINDOWS\System32\kqpokewo.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [AVGCtrl] "D:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [THGuard] "D:\Program Files\TrojanHunter 4.0\THGuard.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ_PR~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ_PR~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...1a0351cafa03db O16 - DPF: {D03A1C33-1913-4533-A8C1-F2C8D13045DE} - http://www.cjb.net/search.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lan.fli4l O17 - HKLM\Software\..\Telephony: DomainName = lan.fli4l O17 - HKLM\System\CCS\Services\Tcpip\..\{40ED070D-1B86-49D6-98C9-0C4C984F3264}: NameServer = 192.168.0.1,0.0.0.0 O17 - HKLM\System\CCS\Services\Tcpip\..\{45F29948-14A6-4026-8A18-B0E5756C5FB7}: Domain = lan.fli4l O17 - HKLM\System\CCS\Services\Tcpip\..\{45F29948-14A6-4026-8A18-B0E5756C5FB7}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{7EA11324-9278-4DD5-BCCF-374A8257DAD4}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lan.fli4l O17 - HKLM\System\CS1\Services\Tcpip\..\{40ED070D-1B86-49D6-98C9-0C4C984F3264}: NameServer = 192.168.0.1,0.0.0.0 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lan.fli4l O17 - HKLM\System\CS2\Services\Tcpip\..\{40ED070D-1B86-49D6-98C9-0C4C984F3264}: NameServer = 192.168.0.1,0.0.0.0 Bitte helfen , wäre nett  |
|
24.10.2004, 01:37
| #2 | |
  | TR/Dldr.Stubby ; TR/Click.Krepper ; TR/Dldr.Krepper.3 ; Brauche Hilfe ! Guten Morgen,
__________________wie ich sehe, hast Du Spybot Search and Destroy noch nicht auf dem Rechner. Downloade also bitte zunächst Spybot-S&D1.3, lade dann die spybotsd131tx.exe runter und kopiere sie in das bestehende Spybot-Verzeichnis, siehe Anleitung: Spybot-Forschung. Scanne damit Deinen Rechner und lass bestehende Probleme damit beheben. Erstelle einen Spybot-Report (rechtsklick in das Feld wo die gefundenen Probleme stehen) und sende ihn an detections@spybot.info mit Verweis auf diesen Thread und unter dem Betreff "searchwww.com-TBOARD" - zu Forschungszwecken. -> Dankeschön! ------------------------------------------------------------------------------------------ Zwischenfrage: Logfile of HijackThis v1.98.2 Scan saved at 02:24:02, on 24.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Dein System ist nicht aktuell, lade bitte alle wichtigen Updates nach, dies erhöht deine Systemsicherheit www.windowsupdate.com ------------------------------------------------------------------------------------------ Danach: Zitat:
Lidius |
|
24.10.2004, 13:36
| #3 |
| | TR/Dldr.Stubby ; TR/Click.Krepper ; TR/Dldr.Krepper.3 ; Brauche Hilfe ! Hi,
__________________Erstmal ein Dankeschön an Lidius ! Ich werde es nun durchfüren . |
|
24.10.2004, 13:47
| #4 |
 | TR/Dldr.Stubby ; TR/Click.Krepper ; TR/Dldr.Krepper.3 ; Brauche Hilfe ! @Mister-MoE du hast unter anderen denn hier im system http://www.sophos.de/virusinfo/analy...2agobotbh.html da kann man dich nur raten dein system neu auf zu setzen. dein system ist als kompromittiert zu betrachten. Zitat von Cidre) Es sieht so aus, als ist ein Backdoor Trojaner auf diesem System aktiv gewesen, daher lautet meine Empfehlung bei dieser derartigen Durchseuchung: Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist. http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426 2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html 3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx 4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. MS Outlook und Outlook Express sicherer konfigurieren http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/ 8. Deine Passwörter ändern 9. Image der Systempartition erstellen mit z.B. Acronis True Image 7 10. Surfverhalten überdenken Info zur Installation von Win XP findest du hier: http://8ung.at/chemikers-home/SETUP.html und http://chip-faq.rufisplanet.ch/installation.html Für die Zukunft: http://www.mathematik.uni-marburg.d...compromise.html chaosman
__________________ Bonus vir semper tiro |
|
09.11.2004, 01:02
| #5 |
| | TR/Dldr.Stubby ; TR/Click.Krepper ; TR/Dldr.Krepper.3 ; Brauche Hilfe ! Hallo.... Habe seit einiger Zeit ein Problem. Ich habe ein Virus namens TR/Dldr.Stubby.C, welches ich nicht gelöscht kriege. Hier meine File von Hijack: Kann mir vielleicht jemand helfen?? Logfile of HijackThis v1.98.2 Scan saved at 00:51:12, on 09.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\NetPumper\NetPumperIEProxy.exe C:\Programme\Winamp\winampa.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Apoint2K\Apntex.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\CASIO\Photo Loader\Plauto.exe E:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus.../search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cus...//www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cus...//www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {3AEECF42-EFE4-4AC8-AE9E-83C031EC09AB} (GamyunNetToolbar) - http://server.gamyun.net/GamyunIeToolbar.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...l_v1-0-3-12.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab |
|
09.11.2004, 01:24
| #6 |
 | TR/Dldr.Stubby ; TR/Click.Krepper ; TR/Dldr.Krepper.3 ; Brauche Hilfe ! Hi Das unbedingt fixen O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe Das überprüfen! Kennst du das prog dann ok wenn nicht fixen R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/ O16 - DPF: {3AEECF42-EFE4-4AC8-AE9E-83C031EC09AB} (GamyunNetToolbar) - http://server.gamyun.net/GamyunIeToolbar.cab Fixen mußt du im abgesicherten modus bei deaktivirter systemwiderherstellung! dann mußt du die escan runterladen http://www.trojaner-board.de/42731-escan-anleitung.html die datei nach c:\bases Installieren/entpacken dann mit kavupd.exe updaten und dann wieder in den abgesicherten modus gehen dann mit mwav.exe den scan starten (Wichtig es muß die option alle dateien scannen aktivirt sein!) und dann das ergebnis hier posten! Mfg ZERO PS: Entschuldige die schreibweise bin nicht mehr allzu wach!!  |
|
| Themen zu TR/Dldr.Stubby ; TR/Click.Krepper ; TR/Dldr.Krepper.3 ; Brauche Hilfe ! |
| avg, bho, brauche hilfe, button, explorer, file missing, helfen, hijack, hijackthis, hilfe, home, icq, internet, internet explorer, links, log, messenger, microsoft, monitor, probleme, programme, software, system, system32, tcpip, trojaner, windows, windows media player, windows xp |
Linear-Darstellung
