Schaffe es nicht alleine Trojaner zu entfernen, bitte um hilfe!

#0
25.01.2004, 10:49
...neu hier

Beiträge: 4
#1 Also, ich habe mit Norton mein System überprüft.
Dabei hat Norton 10 (!!!) Trojaner festgestellt:
2x Download.Trojan
3x Backdoor.Jeem
1x Trojan.KillAV
1x Keylogger.Trojan
1x PWSteal.Trojan
2x Trojan dropper

Ich versuche seit einer Woche alles um diese wieder zu entfernen.
Ich habe dieverse Programme nacheinander ausprobiert, unter anderem Trojan Hunter. Ich habe Adware drüber laufen lassen; den CWSHredder benutzt; habe im gesicherten Modus Windows gestartet...
Alles hat nichts gebracht.
Ich habe einzelne Dateien, wo sich die Trojaner angeblich festgesetz hatten gescant: Nichts!
Irgendwie komme ich also alleine hier nicht weiter.
Da ich wenig ahnung von der gesamten Materie habe, habe ich mir bereits die AnfangsTips zu Trojanern, Viren und Würmern durchgelesen und auch das ausprobiert.
Hier mein Protokoll:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\NISUM.EXE
D:\programme\Quick Time Player\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger Plus! 2\MsgPlus.exe
D:\Programme\Antivir\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\Yahoo\MESSEN~1\ypager.exe
D:\Programme\Festplatte reinigen\Eraser\eraser.exe
C:\Programme\MSN Messenger\msnmsgr.exe
d:\programme\Reader\AcroRd32.exe
D:\Programme\Antivir\AVWUPSRV.EXE
D:\Programme\ccPxySvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Virenkiller\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo\Messenger\ycomp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programme\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo\Messenger\ycomp.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\Quick Time Player\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [RealTray] D:\Programme\Plaer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\Antivir\AVSched32.EXE /min
O4 - HKLM\..\Run: [TrojanScanner] D:\Programme\Virenkiller\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [THGuard] "D:\Programme\Virenkiller\TrojanHunter 3.8\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BayReminder] D:\Programme\BayWatcher\bayreminder.exe /a
O4 - HKCU\..\Run: [Yahoo! Pager] D:\PROGRA~1\Yahoo\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Eraser] D:\Programme\Festplatte reinigen\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = D:\Programme\Kamera\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Add bid (HKCU)
O9 - Extra 'Tools' menuitem: Add bid (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{120E1C10-BC80-41A2-874C-74D184283901}: NameServer = 145.253.2.142 145.253.2.174
O17 - HKLM\System\CS1\Services\Tcpip\..\{120E1C10-BC80-41A2-874C-74D184283901}: NameServer = 145.253.2.142 145.253.2.174

Ich hoffe es kann mir jemand weiterhelfen und ich muss nicht das komplette Betriebssystem neu installieren!

Vielen Dank schonmal ( und bitte einfach erklären, ich kenne mich nicht so gut aus :-) )
Seitenanfang Seitenende
25.01.2004, 11:03
Member

Beiträge: 626
#2 Hi,da du weißt um welche Schädlinge es sich handelt,aber dein AV diese nicht entfernen kann(Komisch),solltest du dir Tools zur Entfernung dieser runterladen und ausführen. Zu finden gibt es diese bei Symantec oder bei Trojaner-Info.
__________
Meine Internetpräsenz
Seitenanfang Seitenende
25.01.2004, 12:34
Moderator

Beiträge: 7805
#3 Es waere interessant zu erfahren, wo Norton diese Dateien gefunden haben will. Inclusive Dateinamen und Ordner/Verzeichniss.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.01.2004, 15:14
...neu hier

Themenstarter

Beiträge: 4
#4 Also, hier die Liste:
C:\i.exe ist infiziert mit Download.Trojan
C:\msdos.exe ist infiziert mit Backdoor.Jeem
C:\Q121103.exe ist infiziert mit Download.Trojan
C:\WINDOWS\mserv.exe ist infiziert mit Trojan.KillAV
C:\WINDOWS\msin32.dll ist infiziert mit Keylogger.Trojan
C:\WINDOWS\svchost.exe ist infiziert mit PWSteal.Trojan
C:\WINDOWS\system32\msrexe.exe ist infiziert mit Backdoor.Jeem
C:\WINDOWS\system32\wingua.exe ist infiziert mit Trojan dropper
C:\Programme\Outlook Express\outl32c.exe ist infiziert mit Backdoor.Jeem
C:\Programme\Outlook Express\outlkl.exe ist infiziert mit Trojan dropper

Mein Problem ist, dass sich ja hinter diesen Bezeichnungen ein ganz anderer Name verbirgt.
Heisst, ich kann nicht nach einem Tool suchen, mit diesen Namen...
Seitenanfang Seitenende
25.01.2004, 15:22
Moderator

Beiträge: 7805
#5 Das machst du einfach selber!;)
Starte deine Windows im abgesicherten Modus und loesche die Dateien selber. Das sollte problemlos klappen, da du ja nun weiss, welche Dateien du loeschen musst. Denke bitte daran nur diese Dateien in den von Norton gemeldeten Verzeichnissen zu loeschen. Denn es gibt noch eine svchost.exe Datei im System32 Ordner, die aber zu Windows gehoert!

Denke danach bitte daran dein Norton immer schoen aktuell zu halten( mehrmals in der woche) und auch dein Windows von Zeit zu Zeit zu aktualisieren(einmal im Monat).

Da haette ich doch fast vergessen zu erwaehnen, das du deine Passwoerter alle aendern solltest, da du nicht weisst, ob de Keylogger und Passwordstealer deine Passwoerter nach aussen getragen hat, oder nicht.
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 25.01.2004 um 15:24 Uhr von raman editiert.
Seitenanfang Seitenende
25.01.2004, 16:03
...neu hier

Themenstarter

Beiträge: 4
#6 also muss ich die komplette datei löschen?
ich dachte ich muss nur den Virus aus den Dateien rauslöschen...
Seitenanfang Seitenende
11.02.2004, 21:52
...neu hier

Beiträge: 4
#7 Hab das auch gefunden, obwohl ich dachte, System is clean. Allerdings geht seit ner Weile mein Scrollrad am Mausepad nicht, was mich immer stutzig machte.
Nu weiß ich evtl. warum. Traue mich auch nicht, die Dateien einfach zu löschen. Den tmp Quatsch klar, aber den Rest eben nicht.
Removal Tool is auf die Schnelle auch nicht zu finden. ;)

Aber ne Anleitung:
The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.
Disable System Restore (Windows Me/XP). Is klar. ;)
Update the virus definitions. Auch klar ;)
Restart the computer in Safe mode or VGA mode. jup ;)
Run a full system scan and delete all the files detected as Trojan dropper. Das is es halt, kann ich z. B. die notepad.exe einfach so löschen?? :confused:




C:\cntsys.dat is infected with Trojan dropper
C:\System Volume Information\_restore{0744408A-5E09-4845-BCD9-EDEB54B2FEAA}\RP2\A0000003.dll is infected with Trojan.Digits
C:\System Volume Information\_restore{0744408A-5E09-4845-BCD9-EDEB54B2FEAA}\RP2\A0000004.exe is infected with Trojan dropper
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\4.tmp is infected with Trojan.Digits
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\2.tmp is infected with Trojan.Digits
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\10.tmp is infected with Trojan.Digits
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\5.tmp is infected with Trojan.Digits
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\C.tmp is infected with Trojan.Digits
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\3.tmp is infected with Trojan.Digits
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\6.tmp is infected with Trojan.Digits
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\7.tmp is infected with Trojan.Digits
C:\WINDOWS\notepad.exe is infected with Trojan dropper
C:\WINDOWS\system32\Notepad.exe is infected with Trojan dropper
Dieser Beitrag wurde am 11.02.2004 um 22:39 Uhr von 0815 editiert.
Seitenanfang Seitenende
12.02.2004, 09:28
Moderator

Beiträge: 7805
#8 Bitte diese Dateien

c:\cntsys.dat
C:\WINDOWS\notepad.exe
mal hier testen:
http://www.kaspersky.com/remoteviruschk.html
und hierhin schicken: virus@protecus.de (oder an die Adresse in meinem Profil)

Dann den Rechner im abgesicherten Modus starten und alles was in diesem Ordner sich befindet loeschen:

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\

und diese Dateien umbenennen:
C:\WINDOWS\notepad.exe
C:\WINDOWS\system32\Notepad.exe
C:\cntsys.dat

dann neu starten und bitte ein Hijackthis log posten: www.hjt.klaffke.de
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende