Krepper.C

Dieses Thema im Forum "Sicherheit" wurde erstellt von Wyggum, 20. Juli 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Wyggum

    Wyggum Byte

    Registriert seit:
    21. Dezember 2002
    Beiträge:
    61
    Hallo!

    Ich habe ein Problem mit einem Trojaner der sich Krepper.C nennt.

    AntiVir kann ihn nicht löschen da er sich in einem Archiv befindet.
    Wie bekomme ich mein System wieder sauber ??

    Hijack hat folgendes gescannt:

    Logfile of HijackThis v1.97.7
    Scan saved at 11:53:58, on 20.07.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS.1\System32\smss.exe
    C:\WINDOWS.1\system32\winlogon.exe
    C:\WINDOWS.1\system32\services.exe
    C:\WINDOWS.1\system32\lsass.exe
    C:\WINDOWS.1\System32\Ati2evxx.exe
    C:\WINDOWS.1\system32\svchost.exe
    C:\WINDOWS.1\System32\svchost.exe
    C:\WINDOWS.1\system32\spoolsv.exe
    C:\WINDOWS.1\system32\Ati2evxx.exe
    C:\WINDOWS.1\Explorer.EXE
    C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
    C:\WINDOWS.1\System32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Executive Software\DiskeeperLite\DKService.exe
    C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
    C:\WINDOWS.1\System32\wuauclt.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\JOOLA.TU-JIU8S2VBTJIS\Desktop\HijackThis.exe

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.1\System32\msdxm.ocx
    O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.1\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab


    Kann mir jemand helfen ?

    Wyggum
     
  2. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Warum löschst du nicht das ganze Archiv ?
     
  3. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo Wyggum

    Dein Log ist sauber. Lösche einfach das Archiv.

    Gruß
    Nevok
     
  4. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo Wyggum,

    dein Log-File ist sauber.

    Zu deinem Problem in welchen Archiv befindet sich der Trojaner Krepper C?
    Poste die genaue Fehlermeldung von AntiVir.

    Er ist zumindest nicht aktiv, das sagt mir das dein IE unsicher konfiguriert ist und durch die verwendete Active X Komponente jedesmal erneut runtergeladen wird!

    Abhilfe:
    - Beseitigung des Archivs im abgesicherten Modus.
    - Danach alle temporäre Dateien löschen:
    C:\Dokumente und Einstellungen\*Benutername*\Lokale Einstellungen\Temp
    C:\WINDOWS\Downloaded Program Files
    C:\Dokumente und Einstellungen\*Benutername*\Lokale Einstellungen\Temporary Internet Files

    Vorbeugung:
    6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
    oder Browserwechsel wie z.B. Mozilla oder Firefox
     
  5. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Das Log ist in Ordnung, mal abgesehen davon, dass mir immer wieder auffällt, dass die wenigsten IE-User das Zonenmodell zu Ihrer Sicherheit nutzen, auch du nicht.
    Wie ist das denn mit dem Virenfund, hat der Wächter oder der Scanner Alarm geschlagen ? Wo sitzt das Archiv ? Bei welcher Aktion wurde der Virus gefunden ?
     
  6. Wyggum

    Wyggum Byte

    Registriert seit:
    21. Dezember 2002
    Beiträge:
    61
    So, Krepper.C ist nicht mehr :)

    Danke für eure Hilfe.

    Ne kleine Frage hab ich noch.

    Ihr sagt alle das mein Log sauber ist, aber an was erkennt man das ??


    Wyggum
     
  7. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Zuerst mal wäre für andere User, die das gleiche Problem haben wie du, interessant:
    Wie hast du dein Problem beseitigt?

    Setze dich mit deinen System auseinander, beobachte die laufende Prozesse, sowie die ganzen anderen Einträge.
    Hier findest du ne Anleitung zum auswerten des Log´s:
    http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

    @ Firenze

    Mir geht´s ähnlich, versuche grad zum 5. Mal meinen eigenen Post zu ändern.
     
  8. Firenze

    Firenze Guest

  9. Wyggum

    Wyggum Byte

    Registriert seit:
    21. Dezember 2002
    Beiträge:
    61
    -----------------------------------------------------------------------------------------
    Zuerst mal wäre für andere User, die das gleiche Problem haben wie du, interessant:
    Wie hast du dein Problem beseitigt?
    -----------------------------------------------------------------------------------------


    Nunja, das problem war das die Datei "Dokumente und Einstellungen/*Benutzername*/Lokale Einstellungen/Temp
    versteckt ist und ich sie daher nicht finden konnte.

    Erst nach sichtbarmachen der versteckten Dateien konnte ich die oben genannte
    Datei löschen und weg war der Trojaner.


    Wyggum
     
  10. Gunny71

    Gunny71 Byte

    Registriert seit:
    7. Dezember 2003
    Beiträge:
    9
    Mal ne andere Frage,
    warum steht diese Datei 2 mal im Task Manager,
    das ist doch ein und die selbe !?:confused:
     
  11. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Da sind eben zwei Instanzen desselben Programms offen. Beim IE ist das auch so, für jedes Fenster läuft ne eigene iexplore.exe. Ähnlich bei der svchost.exe, wobei da versch. Dienste drüber laufen können.

     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen