Leider habe ich mein Problem im Forum nicht so schnell gefunden. Ansonsten verzeihe es man mir.
Ich habe folgendes Problem:
Ich arbeite mit Norton Antivirus und das Programm hat mir jetzt einen Virus bestätigt. Es ist ein Trojan Horses.
Das Problem ist, daß ich die Datei nicht reparieren, nicht isolieren und nicht löschen kann. Ich war auch schon auf der HP von Norton und hab es von dort aus versucht. Dort sagt man mir, daß kein Virus vorhanden ist. Und wenn ich wieder mit Norton von der Festplatte aus mit Antivirus checke, dann ist Trojan Horses wieder da.
Was kann ich nur tun?

Kill mal den Prozess der infizierten Datei, das könnte dann klappen

Wie heißt die Datei und vor allem wie nennt NAV den Trojaner?

Wahrscheinlich ist die Datei der Trojaner selber.

Björn

Hallo,

ich nehme auch an, daß die Datei der Trojaner selbst ist. Es ist die Datei "CrackerBox.exe"
Wenn ich diese Datei aber mit der Suchfunktion suche, dann ist sie nicht da, kann sie also auf dem Wege auch nicht löschen.
[img]graemlins/headbang.gif[/img]

zu Christian: weiß nicht genau, was Du damit meinst.

Es wäre hilfreich, wenn du uns sagst, wo Norton diese Datei gefunden hat. Ganz davon abgesehen, das Norton hier nicht den besten Ruf geniest(es gibt bessere Programme), habe ich den Verdacht, das es sich um eine Datei in der Systemwiederherstellung handelt. Um diese zu löschen, sind einige Zwischenschritte erforderlich und du kannst sie auch nicht einfach mit Dateiensuche finden. Die Datei dürfte dann unter C:_RESTORE\TEMP oder etwas ähnlichem liegen. Also bitte den Fundort des Trojaners und dein Betriebssystem nennen, dann können wir dir wahrscheinlich besser helfen.
Para

Der Ort der Datei ist in Nero 5.X Plugin Package (by CrackerBox) Video CDtools.exe
Liegt in einem ganz bestimmten Unterverzeichnis auf meinem PC, den ich weiß.

Also handelt es sich um eine verdächtige Datei in einem Archiv. Hierbei sehe ich einen gewissen Verdacht für einen Fehlalarm. Deswegen Norton updaten und die Datei direkt scann, sowie mit Onlinescannern (http://www.rokop-security.de/main/onlinescan.php) die Datei kontrolieren. Bei Trojanern hat Kasperov ein sehr guten Ruf hier(Datei sollte kleiner als ein MByte sein...).
Para

So, da es sich (via PM Infos bekommen ) nicht um eine in Nero aktive Datei handelt, sondern um eine Datei in Kazza shared, können wir mal überlegen, wie wir es wegbekommen. Dafür ist es als erstes einmal wichtig zu erfahren, welches Betriebssystem du hast. Als erster Schritt wäre zu versuchen, Kazaa zu beenden und das Verzeichnis zu löschen. Als weiteres könntest du mit der Tastenkombination STRG+ALT+Entf die aktiven Prozesse Anzeigen lassen und so evtl den aktiven Trojaner beenden(wenn du ihn identifizieren kannst). Hilfreich dafür kann auch Trojancheck 6 sein(http://www.trojancheck.de/) dessen Report du hier posten könntest. Solltest du Windows 98 oder ME haben, können wir die Datei auch via Dos löschen. Also erstmal hier angeben, welches Betriebssystem du hast, danach versuchen die Datei bei beendeten Kazza zu löschen, sonst versuchen das Verzeichnis zu löschen. Danach Trojancheck herunterladen und den Report hier posten.
Para

P.S.
Kann Norton AntiVirus Diskette/CD erstellen? Die könnten auch helfen.Also im Programm mal nachsehen ud dann diese nutzen.

O.k., ich werde jetzt erst einmal die hier genannten Tip´s verabeiten.

Mein Betriebssystem ist win 2000

Hallo Paranoia,

habe eine pm geschickt "Report" von Trojancheck.
Kannst Du damit etwas anfangen?
Ich kann keinen Virus erkennen.
Ich hab mir auch mit STRG+ALT+ENTF die aktiven Prozesse anzeigen lassen, aber dort konnte ich auch nichts erkennen.
Ich habe vorher kaaZa gelöscht, aber noch nicht den Norton Antivirentest gemacht. Müßte ich jetzt wohl erst laufen lassen.

Gruß
Inka

</font><blockquote>Zitat:</font><hr />Original erstellt von Inka:
Hallo Paranoia,

habe eine pm geschickt "Report" von Trojancheck.
Kannst Du damit etwas anfangen?
Ich kann keinen Virus erkennen.
</font>[/QUOTE]Ein Forum lebt von der kompentenz seiner mitglider und nicht einiger wenger Personen. Ich selber kann aus dem Report direkt auch nichts herauslesen, da mir einige Programe unbekannt sind.
Deswegen werde ich sie öffentlich posten, damt viele Augen sie beschauen können, von denen viele weit fitter in der Materie sind als ich. Sensible Daten in dem Report habe ich nicht erkennen können .


Trojancheck 6 Report
Created: 02.08.2003 13:57:35

Navigation
Registry - Standardeinträge
Registry - Shell Spawning
Registry - Active Setup
Registry - Virtuelle Gerätetreiber (VxD)
Registry - ICQ Net
Autostart - Standardeinträge
INI Dateien
Batch und Text Dateien
EXPLORER.EXE in C:\

--------------------------------------------------------------------------------

Registry - Standardeinträge
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run internat.exe internat.exe
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run WrCtrl "C:\Programme\WinRoute Pro\wrctrl.exe"
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run NCLaunch C:\WINNT\NCLAUNCH.EXe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run Synchronization Manager mobsync.exe /logon
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run ccApp "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run ccRegVfy "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run SymTray - Norton SystemWorks C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtray.exe SetReg
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run InCD C:\Programme\ahead\InCD\InCD.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run PE2CKFNT SE C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run NeroCheck C:\WINNT\system32\NeroCheck.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\RunOnce SymTray - Norton SystemWorks C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe


Top

Registry - Shell Spawning
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CLASSES_ROOT \exefile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \comfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \batfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \htafile\Shell\open\Command C:\WINNT\System32\mshta.exe "%1" %*
HKEY_CLASSES_ROOT \piffile\shell\open\command "%1" %*


Top

Registry - Active Setup
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\&gt;{22d6f312-b0f6-11d0-94ab-0080c74c7e95} StubPath C:\WINNT\inf\unregmp2.exe /ShowWMP
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\&gt;{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS StubPath RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{6A5110B5-E14B-4268-A065-EF89FF33C325} StubPath regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\wmp.inf,PerUserStub
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340} StubPath regsvr32.exe /s /n /i:U shell32.dll
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383} StubPath %SystemRoot%\System32\ie4uinit.exe
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} StubPath %SystemRoot%\System32\updcrl.exe -e -u %SystemRoot%\System32\verisignpub1.crl


Top

Registry - Virtuelle Gerätetreiber (VxD)
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt


Top

Registry - ICQ Net
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt


Top

Autostart - Standardeinträge
Pfad Dateiname Link zu
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ Erinnerungen für Microsoft Works-Kalender.lnk C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ Microsoft Office.lnk C:\Programme\Microsoft Office\Office\OSA9.EXE
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ Photo Express Calendar Checker SE.lnk C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ WinZip Quick Pick.lnk C:\Programme\WinZip\WZQKPICK.EXE


Top

INI Dateien
Dateiname Wert Inhalt
C:\WINNT\win.ini load
C:\WINNT\system.ini shell Explorer.exe


Top

Batch und Text Dateien
Dateiname Inhalt
c:\msdos.sys Kein Inhalt
c:\autoexec.bat Kein Inhalt
c:\config.sys Kein Inhalt


Top

EXPLORER.EXE in C:\
Pfad


Top

Da ich mich gegen jede Art Programm wehre, das selber mitstarten will, kann ich mit der Reihe an Autostartprogrammen leider nichts anfangen, aber ich hoffe, das es anderen da anders geht.
Du hast Kazza gelöscht: Konntest du auch das shared Verzeichnis löschen? Dann wäre die Trojanerdatei evtl schon weg.
Para

</font><blockquote>Zitat:</font><hr /> NCLAUNCH NCLAUNCH.Exe Part of SWF Studio from Northcode Inc - an extension to Flash. Bundled when you create a self-installing screen-saver on Win2K/XP. Is it required? </font>[/QUOTE]erscheint mir zumindest fraglich

</font><blockquote>Zitat:</font><hr /> HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run internat.exe internat.exe </font>[/QUOTE]http://securityresponse.symantec.com....netsnake.html
Es gibt wohl einen Virus, der diesen Dateinamen benutzt, genau wie eine Windowsdatei.Die Windowsdatei ist 20 kbyte gross, der Virus 82,5 kbyte. Die Originalwindowsdatei ist fr das umschalten von verschiedenen Regionalseinstellung, also deutsche zu Amerikanische Tastatur.

So weiteres habe ich auf die schnelle nicht entdeckt und muss mal wieder was tun. Aber es werden dir sicher ander ebenfalls helfen können
Para

Inzwischen habe ich auch das Verzeichnis My Share Folder gelöscht und danach wieder gecheckt. Leider habe ich den Virus immer noch drauf.

</font><blockquote>Zitat:</font><hr />Original erstellt von Inka:
Inzwischen habe ich auch das Verzeichnis My Share Folder gelöscht und danach wieder gecheckt. Leider habe ich den Virus immer noch drauf. </font>[/QUOTE]Und wo ist er jetzt?
Para

Oh je, jetzt muß ich erst noch mal durchchecken. Hab ich mir nicht gemerkt.
Ich melde mich gleich wieder.