Hallo,
ich brauche Hilfe!
Norman zeigt mir zwei Trojaner. Stubby A. und Bispy. Habe sie aus der angegeben Datei gelöscht. Jetzte tauchen sie erneut unter c: Recycler auf und beim löschen wird der Zugriff verweigert. (Datei wird genutzt oder so ähnlich.) Was muß ich tun. Leider nur bedingt Ahnung von meinem PC.
Was machen diese 2 Tojaner und wie kriege ich sie los? Norman kann sie nicht in Quaratäne setzen.

Danke für eure Hilfe

manuela

@steinplattenverkäufer
poste doch mal ein HijackThis logfile
download

chaosman

Logfile of HijackThis v1.98.2
Scan saved at 22:12:09, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ShutDownOnTime\ShutDownOnTime.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINDOWS\System32\alg.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Common\ycomp5_1_6_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ShutDownOnTime] C:\Programme\ShutDownOnTime\ShutDownOnTime.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O9 - Extra button: Preispiraten 2.01b - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1617beb9...p/RdxIE601.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yaho...ymmapi_416.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DC86F5C-9F28-4120-BA9E-0B5D79C02089}: NameServer = 62.27.27.62 62.27.53.66

Hier der log file.

Manuela

Fixe mal dies:

O16 - DPF: symsupportutil - https://www-secure.symantec.com/reg...supportutil.CAB
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar...er.cab30149.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...ol_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1617beb...ip/RdxIE601.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab30149.cab
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yah.../ymmapi_416.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/reg.../ActiveData.cab


Scanne anschl. mal mit eScan im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Wo werden die Trojaner gefunden?

Hier der gewünschte escan log file:

File C:\Dokumente und Einstellungen\Manuela\Eigene Dateien\Programme\hijackhis\backups\backup-20040818-195733-808.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Manuela\Eigene Dateien\Programme\hijackhis\backups\backup-20040818-195733-874.dll tagged as not-a-virus:AdWare.Toolbar.MyWay.c. No Action Taken.


Vorerst vielen Dank.......

@ steinplattenverkäufer,

falls Du die Malware von Deinem System entfernen willst:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

SD

Ok, aber was ist die mwav.log??? Wo finde ich die?
Danke

Die mwav.log ist die Logdatei von eScan. Zu finden unter C:\bases

Habe alles gemacht. Die beiden Plagegeister sind aber immernoch da. Unter c:/eigneDateien/recycler. Sie sind nicht manuel zu löschen. Ich bekomme immer eine fehlermeldung. Datei wird gerade genutzt. Wer kann mir weiterhelfen???

@steinplattenverkäufer
beide dateien mit den taskmanager beenden.
dann starten in den abgesicherten modus, dann manuell löschen
wenn es dann doch nicht geht, versuche es mal hiermit
http://amok.am/index.php?page=progr&sub=descr&id=6
amokdelay

chaosman

Ich bin leider immernoch nicht weiter. Habe alle Anweisungen befolgt, siehe Antworten. Ich habe immernoch eine Meldung von Norman: Trojaner Stubby A. und Bspy. Escan findet nicht. Sie befinden sich Ordner c: recycles und haben als Symbol den Microsoftpapierkorb. Beim löschen kommt bei beiden Dateien die Fehlermeldung, das das Programm von einer anderen Person oder Programm genutzt wird.
Was soll ich machen?

Hallo steinplattenverkäufer,

gibst Du bitte die genaue Bezeichnung des Pfads an, mit Dateiname. Meine Antwort hat etwas gedauert, da ich etwas gesucht habe, was ich vor kurzem gelesen habe. Ich kopiere dazu aus der Seite Speedyweb:

"Configuration, starten Sie dazu HijackThis -> Button Open prozess manager -> hier können Sie einen Prozess beenden mit Kill prozess, [..] "

oder

"Misc Tool´s 2.Bild -> Button Delete a file on reboot... -> Viele Dateien werden von Windows im Betrieb geschützt, sie lassen sich mit "Fixen" nicht vom System entfernen. Wenn Sie diesen Button drücken, wird ein Windows-Explorer Fenster geöffnet, suchen Sie die zu löschende Datei, wählen Sie öffnen, eine Dialogbox wird geöffnet -> Die Änderungen werden erst nach einem Windows-Neustart wirksam, soll Windows neugestartet werden ?

Wenn Sie den Button JA drücken, wird der Rechner neu gestartet und die Datei gelöscht."

Soweit die Theorie mit Bildern in der Anleitung. Schau es Dir bitte an. Einen Link zur Killbox mitsamt Anleitung findest Du hier: Killbox

DANKE @ Passat2002 und @ Cidre

@ steinplattenverkäufer

versuch das bitte und lass uns wissen, ob es zu einem Erfolg geführt hat.

SD

Hallo, habe die Dateien mit den Papierkörben löschen können (mit killbox) Die andere Datei unter c/receycler/trojan nicht. Die Datei hieß ursprünglich anders. Habe sie unbenannt damit ich sie besser finden kann. Killbox sucht immer auf der dosebene und dort wird immer angezeigt zugriff auf datei verweigert. Killbox zeigt an C:/windows/system32/xcopy.exe Was soll ich machen? Ich poste nocheinmal den neuen HijackThis logfile:
Logfile of HijackThis v1.98.2
Scan saved at 18:20:27, on 21.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ShutDownOnTime\ShutDownOnTime.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\NVCOD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Common\ycomp5_1_6_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ShutDownOnTime] C:\Programme\ShutDownOnTime\ShutDownOnTime.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O9 - Extra button: Preispiraten 2.01b - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DC86F5C-9F28-4120-BA9E-0B5D79C02089}: NameServer = 62.27.27.62 62.27.53.66

hi

C:\Programme\ShutDownOnTime\ShutDownOnTime.exe --> darüber gibt es keine daten, daher diesen prozess mit dem taskmanager beenden und mit dem explorer vorerst umbenennen, einfach vorn und hinten ein + einfügen und aus exe txt +ShutDownOnTime+.txt
diese datei über jotti prüfen, wird eine schadsoftware festgestellt, wird die datei gelöscht (windows-explorer), ist sie sauber entfernen der + und wieder exe drausmachen.
ist die datei verseucht, diesen eintrag fixen
O4 - HKLM\..\Run: [ShutDownOnTime] C:\Programme\ShutDownOnTime\ShutDownOnTime.exe

C:/windows/system32/xcopy.exe --> diese datei umbenennen, neustart, problem (beim löschen ) beheben und die datei wieder richtig benennen.
eventuell auch gleich über jotti checken lassen

was passiert, wenn man eine datei im explorer fenster mit der rechten maustaste aktiviert ( öffnet sich ein weiteres fenster in dem irgendetwas mit norman und delete steht ??)