Trojaner-Board - Trojaner entdeckt,lässt sich aber nicht entfernen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner entdeckt,lässt sich aber nicht entfernen (https://www.trojaner-board.de/18011-trojaner-entdeckt-laesst-entfernen.html)

Trojaner entdeckt,lässt sich aber nicht entfernen

Hallo,

mein Anti Vir hat gerade ein trojanisches Pferd auf meinem Pc entdeckt.
Leider lässt sich dieses nicht entferen, oder überschreiben.
Die Meldung lautet: H:\WINDOWS\SYSTEM32\SLEE401.EXE

Ist das Trojanische Pferd TR/Spyawe
Könnt Ihr mir bitte helfen?

Hier meine HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 18:28:06, on 19.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\AVPersonal\AVWUPSRV.EXE
H:\WINDOWS\System32\SLEE401.exe
H:\WINDOWS\system32\slserv.exe
H:\WINDOWS\System32\Fast.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\taskswitch.exe
H:\WINDOWS\System32\fast.exe
H:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
H:\Programme\Java\jre1.5.0_02\bin\jusched.exe
H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
H:\WINDOWS\switpb.exe
H:\Programme\QuickTime\qttask.exe
H:\Programme\Winamp\winampa.exe
H:\Programme\AVPersonal\AVGNT.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\Programme\MSN Messenger\MsnMsgr.Exe
H:\Programme\Steganos Security Suite 5\steganos5.exe
H:\Programme\Steganos Security Suite 5\safe.exe
H:\Programme\Steganos Security Suite 5\spm.exe
C:\programme\valve\steam\steam.exe
H:\Programme\FBM Software\ZeroSpyware Lite\ZeroSpyware Lite.exe
H:\Programme\FBM Software\ZeroSpyware Lite\NetGuard Lite.exe
H:\Programme\Skype\Phone\Skype.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Miranda IM\miranda32.exe
H:\Programme\AVPersonal\AVGUARD.EXE
H:\Programme\Windows Media Player\wmplayer.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\Dokumente und Einstellungen\U.S.Army\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - H:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - H:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O4 - HKLM\..\Run: [BackgroundSwitcher] H:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] H:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] H:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [msnappau] "H:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Overnet] H:\Programme\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [switp] H:\WINDOWS\switpb.exe
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] H:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] H:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Filetopia] C:\FILETO~1\FILETO~1.EXE /TRAY
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SSS5] "H:\Programme\Steganos Security Suite 5\steganos5.exe" /booting
O4 - HKCU\..\Run: [SSS5SAFE] "H:\Programme\Steganos Security Suite 5\safe.exe" /booting
O4 - HKCU\..\Run: [SSS5SPM] "H:\Programme\Steganos Security Suite 5\spm.exe" /booting
O4 - HKCU\..\Run: [SIAPRO6_ITD] "H:\Programme\Steganos Internet Anonym Pro 6\itd.exe" /booting
O4 - HKCU\..\Run: [Yahoo! Pager] H:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [STYLEXP] H:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ZeroSpyware Lite] "H:\Programme\FBM Software\ZeroSpyware Lite\ZeroSpyware Lite.exe" -STARTUP
O4 - HKCU\..\Run: [NetGuard Lite] "H:\Programme\FBM Software\ZeroSpyware Lite\NetGuard Lite.exe" -STARTUP
O4 - HKCU\..\Run: [Skype] "H:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/(wird fortgesetzt)
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/(Wird auch fortgesetzt)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/(wird auch fortgesetzt)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/(Fortgesetzt)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - H:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - H:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - H:\WINDOWS\System32\SLEE401.exe
O23 - Service: SmartLinkService (SLService) - - H:\WINDOWS\SYSTEM32\slserv.exe

Grüße

Ranger

Zitat:

Zitat von Ranger

Lt. Google gehört das zu Steganos, was man ja auch bei dir im Log findet. Demnach wäre das ein Fehlalarm.

Du kannst zur Sicherheit die Datei auch noch unter http://virusscan.jotti.org/ scannen.

Gruß :daumenhoc
Yopie

Die Meldung erscheint aber andauernd, und wenn das harmlos waär, dann hätte Anti Vir das ja wohl vorher entdeckt,oder?
Selbst beim Upload der Datei bekomme ich eine Antivirenmeldung.
Nach dem Uploade der Datei kommt folgendes:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Wenn die 0 bytes hat, warum erkennt mein Scanner die als gefährlich?

Grüße

Ranger

Dann beende mal den Prozess im Taskmanager und wiederhole dass eben genannte.

Du musst beim Upload deinen Virenscanner deaktivieren, da dieser den Dateizugriff blockt und somit die Datei nicht hochgeladen werden kann. Deshalb bekommst du auch die Meldung mit 0kb.

Also Virenscanner deaktivieren (nicht bloß das Kontrollzentrum schließen).

Wie jedes andere AV-Programm auch ist auch AVPE nicht unfehlbar.
Wenn ein AV-Programm eine Datei als 'clean' erkennt, so heißt das nicht, dass sie 'clean' ist.
Wenn ein AV-Programm eine Datei als 'böse' erkennt, so heißt das nicht, dass sie 'böse' ist.

Letztendlich bleibt die letzte Entscheidung bei dir. Informier dich, z.B. bei Google, im Trojaner-Board oder über einen Online-Scan. Wenn du dann immer noch denkst, dass die Datei 'böse' ist, dann lösch sie.
Wenn du denkst, die Datei ist sauber, dann schick sie als vermeintlichen Fehlalarm mit Beschreibung zur Überprüfung an AVPE.

Gruß :daumenhoc
Yopie

Beim Upload der datei erscheint wieder die gleiche meldung. Der Prozess ist beendet.

Zitat:

Zitat von Ranger

Beim Upload der datei erscheint wieder die gleiche meldung. Der Prozess ist beendet.

Und wenn du denn Wächter deaktivierst?

Gruß :daumenhoc
Yopie

Hmmm... .Komisch habe den Wächter deaktiviert, und die dat hochgeladen die gleiche Meldung ist erschienen.
Habe die Dat nochmal manuell gesucht... nichts mehr gefunden *Grübel*

Task manager zeigt auch nicht mehr an.
Anti Vir wieder aktiviert.
Erneuter Virusscan... nichts mehr gefunden.

Datei manuell gesucht... auch nichts mehr gefunden.

Daraus ergibt sich: Datei endgültig gelöscht.

Frage:

Wenn die Dat vorher schon drauf war, warum hat Anti Vir sie vorher nicht entdeckt.
Ist der Trojaner jetzt wieder runter? War das jetzt einer, oder nicht? Jemand meinte ja das die irgendwie zu einem meiner Progs gehört.

Grüße

Ranger

Zitat:

Zitat von Ranger

Ist der Trojaner jetzt wieder runter? War das jetzt einer, oder nicht? Jemand meinte ja das die irgendwie zu einem meiner Progs gehört.

Da du es ja jetzt mithilfe des AV-Progs geschafft hast, die Datei zu löschen, obwohl du das gar nicht wolltest, werden wir das wohl nie erfahren.

Es sei denn, Steganos funktioniert nicht mehr....

Irgendwie wächst meine Abneigung gegen Virenscanner von Tag zu Tag.

Gruß :daumenhoc
Yopie

[QUOTE=Yopie]Da du es ja jetzt mithilfe des AV-Progs geschafft hast, die Datei zu löschen, obwohl du das gar nicht wolltest, werden wir das wohl nie erfahren.

Es sei denn, Steganos funktioniert nicht mehr....
/QUOTE]

Mist, es funzt tatsächlich nicht mehr.
F*** !!! (Darf man das hier so schreiben?)

Wie kann ich meine Geheimen Dats wieder zurückbekommen?

Warum wurde die dat nicht schon vorher entdeckt?

Grüße

Ranger

Tja...

Gibt es bei AVPE nicht einen "Infected"-Ordner, in den solche Dateien verschoben werden?

Ansonsten würde ich mich an den Support von Steganos wenden, bevor irgendwelche Daten hops gehen.

Gruß :daumenhoc
Yopie

Zitat:

Zitat von Yopie

Also, im "Infected Ordner" sind keine Files, weil das ding runter vom Pc ist.
Steganos funktioniert teilweise noch das Passwort manager funzt ja noch aber die anderen dinger... .
Mein Pc ist jetzt aber wieder sicher, oder?

Grüße

Ranger

Zitat:

Zitat von Ranger

Mein Pc ist jetzt aber wieder sicher, oder?

So sicher wie auch vor dem Löschen der Steganos-Datei. Denn das das ein Fehlalarm war, wusstest du ja schon um 1835.

Gruß :daumenhoc
Yopie

Ach so ist das.
Naja, egal wenn mein Scanner das ding aber als trojaner anzeigt sollte man vielleicht auf die tachnik vertrauen.
Bei Fehlalarm hätte das Ding ja nicht alarm geschlagen.
wenn das doch einer war warum wurde sie als gefäührlich angezeigt?
Und dazu noch als Trojaner?
Trotzdem danke für deine Geduld.

Grüße

Ranger