|
bekomme Trojan.Downloader.Keenval.F nicht in den Griff...HILFE Hallo, ich bin neu. Habe in den letzten Tagen diverse Beiträge im Archiv angeschaut und im abgesicherten Modus durchlaufen lassen (antivir,spybot usw.) - jedoch ist dieser Trojaner immer noch da. Dieser Trojaner habe ich beim Viruscheck mit Bitfinder unter C:\WINDOWS\browserxtras\pn\remove.exe=>(NSIS o)=>zlib_nsis0001=>(NSIS o)=>zlib_nsis0002 [/B] gefunden. bitdefender kann diesen !nur! ignorieren. Anbei meine Daten: Windows XP Professional SP2 Mozilla Firefox und Internet Explorer 6.0 (für Windows update) Bifdefender komplett mit Antivirus und Firewall Könnt Ihr mir bitte helfen, wie ich dieses Problem in den Griff bekomme? Ist dieser Trojaner gefährlich? Ich danke euch Sebastian |
@bastitheman Board-Suche kostet nix, bringt aber manchmal viel : http://www.trojaner-board.de/showthread.php?t=17470 ;) |
Hallo Rene-gad, danke für den Tip. Dies und viele anderen Sachen habe ich bereits durchgeführt. Leider ist Keenval.F dann nach dem Neustart immer noch vorhanden und kann nicht desinfiziert werden. Gibt es noch andere Möglichkeiten? danke vorab bastitheman |
@bastitheman Bitte Hijackthis herunterladen, nach der Anleitung Scan-Log erstellen, hier posten. HJT soll aus einem speziell angelegten Ordner ausgeführt werden. Bitte alle Links im Log deaktivieren (z.B. h**p statt http) Benutzername unerkennbar machen. |
anbei mein Scan-log: Logfile of HijackThis v1.99.1 Scan saved at 19:34:39, on 30.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\TPWRTRAY.EXE C:\Programme\RF Wireless Mouse\cm20.exe C:\WINDOWS\system32\00THotkey.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\Programme\Softwin\BitDefender8\bdnagent.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe c:\programme\softwin\bitdefender8\bdmcon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.nero.com/de/download.php?id=1 R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\RF Wireless Mouse\cm20.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect /keeploaded O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender8\\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender8\\bdnagent.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - h**p://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe O23 - Service: Adobe LM Service - ***** ****** - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - ***** ****** - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe O23 - Service: BitDefender Scan Server (bdss) - ***** ****** - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: GBPoll - ***** ****** - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe (file missing) O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - ***** ****** - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: BitDefender Virus Shield (VSSERV) - ***** ****** - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - ***** ****** - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) |
Hallo bastitheman, Zitat:
Ansonsten kann ich, bis auf einige kosmetische Korrekturen, nichts verdächtiges feststellen. |
Hallo Cidre, danke. habe die Anwendung prüfen lassen. File: remove.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5 f776d704edf3a1e7f180acd1b4be34c1 Packers detected: - Scanner results AntiVir Found nothing Avast Found Win32:Trojan-gen. {Other} AVG Antivirus Found nothing BitDefender Found Trojan.Downloader.Keenval.F ClamAV Found Trojan.Downloader.Keenval-10 Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found W32/Keenval.F-tr Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Keenval.f mks_vir Found Trojan.Downloader.Keenval.F NOD32 Found nothing Norman Virus Control Found nothing VBA32 Found nothing ...werde nun die Datei, wie beschrieben, löschen. Gruss bastitheman |
Hallo Cidre, habe diese mit Killbox gelöscht. Muss ich noch was tun? Sind mit den bisherigen Schritten alle Spuren gelöscht? danke vorab bastitheman :http://www.trojaner-board.de/newrepl...te=1&p=146204# Lächeln) |
Zum Abschluß führst du eScan im abgesicherten Modus aus und entfernst ggf. die noch verbliebene Malware. Ebenso kannst du uns die Virus Log Information zur Durchsicht posten. |
leider öffnet sich der Link Mikrowold nicht! gibt es noch eine andere Möglichkeit eScan zu bekommen? danke bastitheman |
Bei mir funktioniert's. Probier' mal diese -> http://www.trojaner-board.de/showpos...58&postcount=5 |
also der zweite Link geht. Wenn ich die datei mwavscan im abgesichertem modus ausführen möchte, kommt die folgen Fehlermeldung: Internal Error!!! Please send log file to ##support@mwti.net##. Wie kann ich den Scan zum laufen bringen? danke |
|
Danke - dieser Link hat funktioniert. Nun habe ich aber ein anderes Problem! Ich möchte euch zur Durchsicht die find.bat posten. Jedoch erscheint im DOS Fenster dauernd der Vermerk "Der Prozess kann nicht auf die Datei zugreifen, da Sie von einem anderen Prozess verwendet wird. Was mache ich falsch? danke bastitheman |
Wenn du natürlich noch mit eScan scannst, dann ist die Fehlermeldung klar. Zuerst eScan zu Ende scannen lassen und dann erst die Find.bat ausführen. |
ich habe eScan gestern abend im abgesichertem Modus durchlaufen lassen. kann ich dann einfach jetzt find.bat durchführen oder muss ich es gleich anschliessend nach eScan ohne Unterbrechung machen? danke bastitheman |
Nein, das Ausführen der Find.bat ist vom zeitlichen her gesehen, egal. Hast du eventuell die mwav.log zuvor schon manuell geöffnet? |
nein habe ich nicht. was kann ich nun tun, um euch den logfile zu posten? bastitheman |
...ich werde am besten nochmal schritt für schritt alles durchgehen - vielleicht klappt´s ja- ich melde mich wieder danke bastitheman |
Folglich mußt du den mühsamen Weg gehen... Die mwav.log nach infected/tagged manuell durchsuchen und diese Funde posten, wie in der Anleitung beschrieben. |
...hallo anbei die virus log information von eScan Object "WebP2P Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "myway Spyware/Adware" found in File System! Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Softwin\BitDefender8\lvuptst8.exe". Action Taken: No Action Entry "HKCR\CLSID\{1B53F360-9A1B-1069-930C-00AA0030EBC8}" refers to invalid object "C:\WINDOWS\system32\hypertrm.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{442D12A1-2641-11d2-90FB-006008A1F441}" refers to invalid object "a3d.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{52B87208-9CCF-42C9-B88E-069281105805}" refers to invalid object "C:\PROGRA~1\TROJAN~1\Trshlex.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{88895560-9AA2-1069-930E-00AA0030EBC8}" refers to invalid object "C:\WINDOWS\system32\hticons.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{92FA2C24-253C-11d2-90FB-006008A1F441}" refers to invalid object "a3dapi.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{C91E8926-D4BE-4685-99F4-0D996B96BAC0}" refers to invalid object "C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{d8f1eee0-f634-11cf-8700-00a0245d918b}" refers to invalid object "a3d.dll". Action Taken: No Action Taken. Entry "HKCR\Context.test" refers to invalid object "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}". Action Taken: No Action Taken. Entry "HKCR\Context.test.1" refers to invalid object "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}". Action Taken: No Action Taken. wenn ich die mwav.log datei durchsuche, dann erhalte ich unter infected/tagged folgende einträge: Scanning Folder: C:\Programme\Softwin\BitDefender8\Infected\*.* Scanning Folder: C:\Programme\VisNetic AntiVirus\Workstation\Infected\*.* System found infected with WebP2P Spyware/Adware ({1D6711C8-7154-40BB-8380-3DEA45B69CBF})! Action taken: No Action was muss ich nun tun? danke bastitheman |
Hier findest du die Lösung -> http://www.trojaner-board.de/showpos...90&postcount=5 |
ich bekomme noch die folgenden Meldungen: Object "WebP2P Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "myway Spyware/Adware" found in File System! Action Taken: No Action Taken. Wie bzw. wo finde ich die? Mit welchem Programm kann ich diese dann entfernen? Zudem weiss ich nicht genau wie solche Fehler Entry "HKCR\CLSID\{88895560-9AA2-1069-930E-00AA0030EBC8}" refers to invalid object "C:\WINDOWS\system32\hticons.dll". Action Taken: No Action Taken. bearbeite. ich bin im abgesichertem modus unter ausführen/regendit habe dann diesen eintrag gesucht und gelöscht. sobald ich dann eScan erneut durchlaufen lassen habe, erscheint dieser Fehler immer noch? Wieso? danke bastitheman |
...über die Suchoption von Windows erhalte ich leider keine korrekten Einträge zu den 3 Viren (Altnet WebP2P und myway)!! Welche Möglichkeiten habe ich, diese 3 Viren zu finden? In der Lösungsdatei von rich20 finde ich leider keine passenden Infos. Die genannten Einträge unter HKLM\........ kann ich bei mir nicht finden. Was kann ich nun noch tun? Bitte helft mir. danke vorab bastitheman |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board