|
Stubby.A und Bispy Trojaner Hallo, ich brauche Hilfe! Norman zeigt mir zwei Trojaner. Stubby A. und Bispy. Habe sie aus der angegeben Datei gelöscht. Jetzte tauchen sie erneut unter c: Recycler auf und beim löschen wird der Zugriff verweigert. (Datei wird genutzt oder so ähnlich.) Was muß ich tun. Leider nur bedingt Ahnung von meinem PC. Was machen diese 2 Tojaner und wie kriege ich sie los? :mad: Norman kann sie nicht in Quaratäne setzen. Danke für eure Hilfe manuela |
|
Logfile of HijackThis v1.98.2 Scan saved at 22:12:09, on 18.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\NORMAN\Nvc\BIN\NPFSVICE.EXE C:\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ShutDownOnTime\ShutDownOnTime.exe C:\NORMAN\Nvc\BIN\ZLH.EXE C:\Programme\TuneUp Utilities\MemOptimizer.exe C:\NORMAN\Nvc\BIN\NYMSE.EXE C:\NORMAN\Nvc\BIN\NIP.EXE C:\NORMAN\Nvc\BIN\npfmsg2.exe C:\NORMAN\Nvc\BIN\NJEEVES.EXE C:\NORMAN\Nvc\BIN\NVCSCHED.EXE C:\WINDOWS\System32\wbem\wmiprvse.exe C:\NORMAN\Nvc\BIN\nipsvc.exe C:\NORMAN\Nvc\BIN\nvcoas.exe C:\WINDOWS\System32\alg.exe C:\NORMAN\Nvc\BIN\cclaw.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Common\ycomp5_1_6_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ShutDownOnTime] C:\Programme\ShutDownOnTime\ShutDownOnTime.exe O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart O9 - Extra button: Preispiraten 2.01b - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1617beb9...p/RdxIE601.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yaho...ymmapi_416.dll O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1DC86F5C-9F28-4120-BA9E-0B5D79C02089}: NameServer = 62.27.27.62 62.27.53.66 Hier der log file. Manuela |
Fixe mal dies: O16 - DPF: symsupportutil - https://www-secure.symantec.com/reg...supportutil.CAB O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar...er.cab30149.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...ol_v1-0-3-9.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1617beb...ip/RdxIE601.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab30149.cab O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yah.../ymmapi_416.dll O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/reg.../ActiveData.cab Scanne anschl. mal mit eScan im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html Wo werden die Trojaner gefunden? |
Hier der gewünschte escan log file: File C:\Dokumente und Einstellungen\Manuela\Eigene Dateien\Programme\hijackhis\backups\backup-20040818-195733-808.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Manuela\Eigene Dateien\Programme\hijackhis\backups\backup-20040818-195733-874.dll tagged as not-a-virus:AdWare.Toolbar.MyWay.c. No Action Taken. Vorerst vielen Dank....... |
@ steinplattenverkäufer, falls Du die Malware von Deinem System entfernen willst: 1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre) 2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. SD |
Ok, aber was ist die mwav.log??? Wo finde ich die? Danke |
Die mwav.log ist die Logdatei von eScan. Zu finden unter C:\bases |
Habe alles gemacht. Die beiden Plagegeister sind aber immernoch da. Unter c:/eigneDateien/recycler. Sie sind nicht manuel zu löschen. Ich bekomme immer eine fehlermeldung. Datei wird gerade genutzt. Wer kann mir weiterhelfen??? |
@steinplattenverkäufer beide dateien mit den taskmanager beenden. dann starten in den abgesicherten modus, dann manuell löschen wenn es dann doch nicht geht, versuche es mal hiermit http://amok.am/index.php?page=progr&sub=descr&id=6 amokdelay chaosman |
Ich bin leider immernoch nicht weiter. Habe alle Anweisungen befolgt, siehe Antworten. Ich habe immernoch eine Meldung von Norman: Trojaner Stubby A. und Bspy. Escan findet nicht. Sie befinden sich Ordner c: recycles und haben als Symbol den Microsoftpapierkorb. Beim löschen kommt bei beiden Dateien die Fehlermeldung, das das Programm von einer anderen Person oder Programm genutzt wird. Was soll ich machen? |
Hallo steinplattenverkäufer, gibst Du bitte die genaue Bezeichnung des Pfads an, mit Dateiname. Meine Antwort hat etwas gedauert, da ich etwas gesucht habe, was ich vor kurzem gelesen habe. Ich kopiere dazu aus der Seite Speedyweb: "Configuration, starten Sie dazu HijackThis -> Button Open prozess manager -> hier können Sie einen Prozess beenden mit Kill prozess, [..] " oder "Misc Tool´s 2.Bild -> Button Delete a file on reboot... -> Viele Dateien werden von Windows im Betrieb geschützt, sie lassen sich mit "Fixen" nicht vom System entfernen. Wenn Sie diesen Button drücken, wird ein Windows-Explorer Fenster geöffnet, suchen Sie die zu löschende Datei, wählen Sie öffnen, eine Dialogbox wird geöffnet -> Die Änderungen werden erst nach einem Windows-Neustart wirksam, soll Windows neugestartet werden ? Wenn Sie den Button JA drücken, wird der Rechner neu gestartet und die Datei gelöscht." Soweit die Theorie mit Bildern in der Anleitung. Schau es Dir bitte an. Einen Link zur Killbox mitsamt Anleitung findest Du hier: Killbox DANKE @ Passat2002 und @ Cidre @ steinplattenverkäufer versuch das bitte und lass uns wissen, ob es zu einem Erfolg geführt hat. SD |
Hallo, habe die Dateien mit den Papierkörben löschen können (mit killbox) Die andere Datei unter c/receycler/trojan nicht. Die Datei hieß ursprünglich anders. Habe sie unbenannt damit ich sie besser finden kann. Killbox sucht immer auf der dosebene und dort wird immer angezeigt zugriff auf datei verweigert. Killbox zeigt an C:/windows/system32/xcopy.exe Was soll ich machen? Ich poste nocheinmal den neuen hijackthis logfile: Logfile of HijackThis v1.98.2 Scan saved at 18:20:27, on 21.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ShutDownOnTime\ShutDownOnTime.exe C:\NORMAN\Nvc\BIN\ZLH.EXE C:\Programme\TuneUp Utilities\MemOptimizer.exe C:\NORMAN\Nvc\BIN\NPFSVICE.EXE C:\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\NORMAN\Nvc\BIN\NYMSE.EXE C:\NORMAN\Nvc\BIN\NIP.EXE C:\NORMAN\Nvc\BIN\npfmsg2.exe C:\NORMAN\Nvc\BIN\nvcoas.exe C:\NORMAN\Nvc\BIN\NVCSCHED.EXE C:\NORMAN\Nvc\BIN\NJEEVES.EXE C:\NORMAN\Nvc\BIN\nipsvc.exe C:\WINDOWS\System32\alg.exe C:\NORMAN\Nvc\BIN\cclaw.exe C:\NORMAN\Nvc\BIN\NVCOD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Common\ycomp5_1_6_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ShutDownOnTime] C:\Programme\ShutDownOnTime\ShutDownOnTime.exe O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart O9 - Extra button: Preispiraten 2.01b - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{1DC86F5C-9F28-4120-BA9E-0B5D79C02089}: NameServer = 62.27.27.62 62.27.53.66 |
hi C:\Programme\ShutDownOnTime\ShutDownOnTime.exe --> darüber gibt es keine daten, daher diesen prozess mit dem taskmanager beenden und mit dem explorer vorerst umbenennen, einfach vorn und hinten ein + einfügen und aus exe txt +ShutDownOnTime+.txt diese datei über jotti prüfen, wird eine schadsoftware festgestellt, wird die datei gelöscht (windows-explorer), ist sie sauber entfernen der + und wieder exe drausmachen. ist die datei verseucht, diesen eintrag fixen O4 - HKLM\..\Run: [ShutDownOnTime] C:\Programme\ShutDownOnTime\ShutDownOnTime.exe C:/windows/system32/xcopy.exe --> diese datei umbenennen, neustart, problem (beim löschen ) beheben und die datei wieder richtig benennen. eventuell auch gleich über jotti checken lassen was passiert, wenn man eine datei im explorer fenster mit der rechten maustaste aktiviert ( öffnet sich ein weiteres fenster in dem irgendetwas mit norman und delete steht ??) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:31 Uhr. |
Copyright ©2000-2024, Trojaner-Board