lythium
hi ich hab probleme mit einem(oder mehrern) trojaner(n) ich bekomme immer von bitdefender eine warnung das ein trojaner geblockt wurde bzw. bitdefender schafft es nicht den trojaner zu löschen .
ich hab schon versucht mit einem shredder die dateien zu löschen(tuneup 2007),bloß dann kommt immer diese warnung von bitdefender das der virus/trojaner geblockt wurde und der shredder gibt eine warn-meldung ab das ich nicht berechtigt bin die datei zu löschen.
ich bin mit meinem latein am ende was es damit auf sich hat.
der name des trojaners is :
Trojan.Keylog.Ardamax.NAE und Trojan.Spy.VB.NBT
hier der log des navilog1
| code: |
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
80:
81:
82:
83:
84:
85:
86:
87:
88:
89:
90:
91:
92:
93:
94:
95:
96:
97:
|
Search Navipromo version 2.0.5 began on 25.07.2007 at 3:52:42,14
!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Updated on 01.07.2007 at 12h00 by IL-MAFIOSO
Done in normal mode
*** Searching for installed Software ***
*** Search folders in C:\WINDOWS ***
*** Search folders in C:\Programme ***
*** Search folders in C:\Dokumente und Einstellungen\All Users\Application Data ***
*** Search folders in C:\Dokumente und Einstellungen\Chris\Anwendungsdaten ***
*** Search with BlackLight Engine/F-secure ***
BlackLight Engine is a product of F-secure, for more info:
http://www.f-secure.com/blacklight/blacklight_help.html
F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.
[+] Started on 07/25/07 at 03:52:43.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .........................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/25/07 at 03:56:56 (return code = 0).
*** Search files ***
*** Search registry keys ***
Search in [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Search in [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Search Magic Control Key
*** Complementary Search ***
(Search specifics files)
1)Search known files:
2)Heuristic Search :
*
**
***
****
*****
******
*******
********
3)Certificates Search :
*** Search completed on 25.07.2007 at 3:57:23,54 ***
|
|
hier vom f-secure blacklight
| code: |
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
|
07/25/07 03:44:33 [Info]: BlackLight Engine 1.0.64 initialized
07/25/07 03:44:33 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/25/07 03:44:34 [Note]: 7019 4
07/25/07 03:44:34 [Note]: 7005 0
07/25/07 03:44:40 [Note]: 7006 0
07/25/07 03:44:40 [Note]: 7011 1704
07/25/07 03:44:40 [Note]: 7026 0
07/25/07 03:44:40 [Note]: 7026 0
07/25/07 03:44:41 [Note]: FSRAW library version 1.7.1022
07/25/07 03:50:40 [Note]: 2000 1012
07/25/07 03:50:40 [Note]: 2000 1012
07/25/07 03:51:08 [Note]: 7007 0
|
|
und zu letzt vom hijackthis
| code: |
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
|
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:00:19, on 25.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Xfire Music] "C:\Programme\Xfire\xfiremusic.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Star Wolves 2 Drivers Auto Removal (pr2akdqb) (pr2akdqb) - Cenega Publishing - C:\WINDOWS\system32\pr2akdqb.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
--
End of file - 5514 bytes
|
|
ich hoffe ihr konntet mich verstehen ^^ und auf eine schnelle antwort bzw. ratschläge was ich dort erledigen könnte bei diesem problem
tomex030
Also das HijackThis Logfile sieht für mich sauber aus, auch auf dem anderen kann ich nichts verdächtiges entdecken.
Das HijackThis Logfile kannst du dir auch selbst mal dort auswerten lassen - >
http://www.hijackthis.de/
Wo sollen sich die beiden Schädlinge denn versteckt halten?
Wenn du probleme hast, gesperrte Dateien zu löschen dann versuch es mal mit dem Unlocker, damit kannst du alle Prozesse, die auf die Datei zugreifen beenden und dann lässt sie sich auch schreddern.
http://www.chip.de/downloads/c1_downloads_18414122.html
Pass auf, dass du nichts falsches löscht.
lythium
also das problem mit den zugriffs rechten hab ich nicht mehr aber der papierkorb is voll aber keine dateien sind drinne wenn ich ihn leeren will kommt dann der fehler "..quelldatei oder vom quelldatenträger kann nicht gelesen werden dazu gibt bitdefender eine warnung. bloß glaube das problem liegt daran die quelldateien von den trojaner zu löschen bloß ich weis nicht wie .vllt werde ich mein pc und meine externe festplatte formatieren bloß ich muss mir vorher wichtige backups erstellen die so ca 300gb groß sind ^^
so far MfG Lythium
tomex030
Versuche doch mal das Verzeichnis RECYCLER zu löschen, dazu musst du wie folgt vorgehen: Start, ausführen und cmd eingeben
Im Dos-Fenster dann X: eingeben.
Jetzt sollte dann X:\> angezeigt werden und anschliessend die Attribute vom Verzeichnis RECYCLER auf Laufwerk C ändern: attrib -r -s -h x:\recycler
anschliessend das Verzeichnis RECYCLER löschen: rd /s /q x:\recycler und dann den Computer neu starten!!
Das Löschen von RECYCLER stellt kein Problem dar, weil es nach einem Neustart von Windows automatisch wieder angelegt wird.
Ist der Papierkorb dann leer kannst du ja noch mal den rechner scannen. Ist er sauber kommst du um das Formatieren herum.
lythium
| code: |
1:
2:
3:
4:
5:
|
J:\>rd /s /q J:\RECYCLED
J:\RECYCLED\DJ4\softmod\sro_client.exe - Ein an das System angeschlossenes Gerät
funktioniert nicht.
J:\RECYCLED\DJ5\nubot\NUBOT_~1\nuBot.exe - Ein an das System angeschlossenes Ger
ät funktioniert nicht. |
|
hm funktioniert irgenwie nit
ist meine externe festplatte
//edit
hab mal mein pc mit s&d durchlaufen lassen mein bitdefender hatte alarm geschlagen das der trojaner im windows ordner ist :/
lythium
problem ist immer noch nicht gelöst
lythium
glaube das problem ist nun gelöst ich scanne mein pc dann nochmal durch mit deinem counterspy dann bitdefender danach mit tuneup alles fit machen damit mein pc wieder läuft hatte kaspersky 6 noch gefunden installiert und gescanned dann wurde der/die trojaner gelöscht 100% sicher bin ich mir aber nicht danke für die hilfe
wahh ein trojaner versteck sich von von system ordner von c also system vol.. irgenwas :/
hatte mit counterspy scanned dann kam ne warnung von bitdefender wo der trojaner wo is :S
McFly
Noch ein Tipp, wenn man den Rechner mit dem Antivirenprogramm scannen möchte, sollte man das im "abgesicherten Modus" machen desto weniger Probleme gibt es, und man findet dort auch häufig mehr, da dann auch die Systemprogramme besser untersucht werden können.
lythium
mach ich mal hoffentlich find ich was
lythium
problem gelöst alles weg was ich gefunden hatte