Krepper.C

Hallo!

Ich habe ein Problem mit einem Trojaner der sich Krepper.C nennt.

AntiVir kann ihn nicht löschen da er sich in einem Archiv befindet.
Wie bekomme ich mein System wieder sauber ??

Hijack hat folgendes gescannt:

Logfile of HijackThis v1.97.7
Scan saved at 11:53:58, on 20.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\System32\Ati2evxx.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\WINDOWS.1\system32\Ati2evxx.exe
C:\WINDOWS.1\Explorer.EXE
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS.1\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINDOWS.1\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\JOOLA.TU-JIU8S2VBTJIS\Desktop\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.1\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.1\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab


Kann mir jemand helfen ?

Wyggum

 

Warum löschst du nicht das ganze Archiv ?

 

Hallo Wyggum

Dein Log ist sauber. Lösche einfach das Archiv.

Gruß
Nevok

 

Hallo Wyggum,

dein Log-File ist sauber.

Zu deinem Problem in welchen Archiv befindet sich der Trojaner Krepper C?
Poste die genaue Fehlermeldung von AntiVir.

Er ist zumindest nicht aktiv, das sagt mir das dein IE unsicher konfiguriert ist und durch die verwendete Active X Komponente jedesmal erneut runtergeladen wird!

Abhilfe:
- Beseitigung des Archivs im abgesicherten Modus.
- Danach alle temporäre Dateien löschen:
C:\Dokumente und Einstellungen\*Benutername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutername*\Lokale Einstellungen\Temporary Internet Files

Vorbeugung:
6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
oder Browserwechsel wie z.B. Mozilla oder Firefox

 

Das Log ist in Ordnung, mal abgesehen davon, dass mir immer wieder auffällt, dass die wenigsten IE-User das Zonenmodell zu Ihrer Sicherheit nutzen, auch du nicht.
Wie ist das denn mit dem Virenfund, hat der Wächter oder der Scanner Alarm geschlagen ? Wo sitzt das Archiv ? Bei welcher Aktion wurde der Virus gefunden ?

 

So, Krepper.C ist nicht mehr

Danke für eure Hilfe.

Ne kleine Frage hab ich noch.

Ihr sagt alle das mein Log sauber ist, aber an was erkennt man das ??


Wyggum

 

Zuerst mal wäre für andere User, die das gleiche Problem haben wie du, interessant:
Wie hast du dein Problem beseitigt?

Setze dich mit deinen System auseinander, beobachte die laufende Prozesse, sowie die ganzen anderen Einträge.
Hier findest du ne Anleitung zum auswerten des Log´s:
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

@ Firenze

Mir geht´s ähnlich, versuche grad zum 5. Mal meinen eigenen Post zu ändern.

 

Guck mal hier:

http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html#r

und da:

http://grinko.funpic.de/base/html/hijackthis.html



----------

OT
Versuche jetzt schon eine Weile diesen kleinen Beitrag zu posten, aber:

Im Moment greifen aussergwöich viele User auf das Forum zu. Bitte versuchen Sie es in einigen Minuten nocheinmal.

So 'nen Sch... wie in diesem Forum habe ich noch nicht erlebt.

 

-----------------------------------------------------------------------------------------
Zuerst mal wäre für andere User, die das gleiche Problem haben wie du, interessant:
Wie hast du dein Problem beseitigt?
-----------------------------------------------------------------------------------------


Nunja, das problem war das die Datei "Dokumente und Einstellungen/*Benutzername*/Lokale Einstellungen/Temp
versteckt ist und ich sie daher nicht finden konnte.

Erst nach sichtbarmachen der versteckten Dateien konnte ich die oben genannte
Datei löschen und weg war der Trojaner.


Wyggum

 

Mal ne andere Frage,
warum steht diese Datei 2 mal im Task Manager,
das ist doch ein und die selbe !?

 

Da sind eben zwei Instanzen desselben Programms offen. Beim IE ist das auch so, für jedes Fenster läuft ne eigene iexplore.exe. Ähnlich bei der svchost.exe, wobei da versch. Dienste drüber laufen können.