Hallo,
ich bin neu.
Habe in den letzten Tagen diverse Beiträge im Archiv angeschaut und im abgesicherten Modus durchlaufen lassen (antivir,spybot usw.) - jedoch ist dieser Trojaner immer noch da.
Dieser Trojaner habe ich beim Viruscheck mit Bitfinder unter C:\WINDOWS\browserxtras\pn\remove.exe=>(NSIS o)=>zlib_nsis0001=>(NSIS o)=>zlib_nsis0002 [/B] gefunden.
bitdefender kann diesen !nur! ignorieren.

Anbei meine Daten:

Windows XP Professional SP2
Mozilla Firefox und Internet Explorer 6.0 (für Windows update)
Bifdefender komplett mit Antivirus und Firewall



Könnt Ihr mir bitte helfen, wie ich dieses Problem in den Griff bekomme?
Ist dieser Trojaner gefährlich?
Ich danke euch
Sebastian

@bastitheman
Board-Suche kostet nix, bringt aber manchmal viel : http://www.trojaner-board.de/showthread.php?t=17470

Hallo Rene-gad,

danke für den Tip. Dies und viele anderen Sachen habe ich bereits durchgeführt. Leider ist Keenval.F dann nach dem Neustart immer noch vorhanden und kann nicht desinfiziert werden.

Gibt es noch andere Möglichkeiten?

danke vorab
bastitheman

@bastitheman
Bitte Hijackthis herunterladen, nach der Anleitung Scan-Log erstellen, hier posten.
HJT soll aus einem speziell angelegten Ordner ausgeführt werden.
Bitte alle Links im Log deaktivieren (z.B. h**p statt http)
Benutzername unerkennbar machen.

anbei mein Scan-log:

Logfile of HijackThis v1.99.1
Scan saved at 19:34:39, on 30.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Programme\RF Wireless Mouse\cm20.exe
C:\WINDOWS\system32\00THotkey.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.nero.com/de/download.php?id=1
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\RF Wireless Mouse\cm20.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect /keeploaded
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender8\\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender8\\bdnagent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - h**p://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe
O23 - Service: Adobe LM Service - ***** ****** - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - ***** ****** - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: BitDefender Scan Server (bdss) - ***** ****** - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GBPoll - ***** ****** - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - ***** ****** - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - ***** ****** - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - ***** ****** - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hallo bastitheman,

Zitat:

C:\WINDOWS\browserxtras\pn\remove.exe

Überprüfe diese Datei bei http://virusscan.jotti.org/de und poste das Ergebnis. Anschließend löscht du diese mit KillBox, wie beschrieben.

Ansonsten kann ich, bis auf einige kosmetische Korrekturen, nichts verdächtiges feststellen.

Hallo Cidre,

danke.
habe die Anwendung prüfen lassen.

File: remove.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 f776d704edf3a1e7f180acd1b4be34c1
Packers detected:
-
Scanner results
AntiVir
Found nothing
Avast
Found Win32:Trojan-gen. {Other}
AVG Antivirus
Found nothing
BitDefender
Found Trojan.Downloader.Keenval.F
ClamAV
Found Trojan.Downloader.Keenval-10
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found W32/Keenval.F-tr
Kaspersky Anti-Virus
Found Trojan-Downloader.Win32.Keenval.f
mks_vir
Found Trojan.Downloader.Keenval.F
NOD32
Found nothing
Norman Virus Control
Found nothing
VBA32
Found nothing


...werde nun die Datei, wie beschrieben, löschen.

Gruss
bastitheman

Hallo Cidre,

habe diese mit Killbox gelöscht.
Muss ich noch was tun?
Sind mit den bisherigen Schritten alle Spuren gelöscht?

danke vorab
bastitheman :http://www.trojaner-board.de/newrepl...te=1&p=146204#
Lächeln)

Zum Abschluß führst du eScan im abgesicherten Modus aus und entfernst ggf. die noch verbliebene Malware.
Ebenso kannst du uns die Virus Log Information zur Durchsicht posten.

leider öffnet sich der Link Mikrowold nicht!
gibt es noch eine andere Möglichkeit eScan zu bekommen?

danke
bastitheman

Bei mir funktioniert's. Probier' mal diese -> http://www.trojaner-board.de/showpos...58&postcount=5

also der zweite Link geht.
Wenn ich die datei mwavscan im abgesichertem modus ausführen möchte, kommt die folgen Fehlermeldung: Internal Error!!! Please send log file to ##support@mwti.net##.

Wie kann ich den Scan zum laufen bringen?
danke

Schau mal -> http://www.trojaner-board.de/showpos...85&postcount=5

Danke - dieser Link hat funktioniert.
Nun habe ich aber ein anderes Problem!
Ich möchte euch zur Durchsicht die find.bat posten.
Jedoch erscheint im DOS Fenster dauernd der Vermerk "Der Prozess kann nicht auf die Datei zugreifen, da Sie von einem anderen Prozess verwendet wird.

Was mache ich falsch?

danke
bastitheman

Wenn du natürlich noch mit eScan scannst, dann ist die Fehlermeldung klar. Zuerst eScan zu Ende scannen lassen und dann erst die Find.bat ausführen.