Trotz Quarantäne ist Trojan.Gen immer wieder da

Hallo,

seit ein paar Tagen macht mich NIS immer wieder nach einem Neustart darauf aufmerksam, dass der Trojan.Gen gefunden wurde. Er ist in C:\Dokumente und Einstellungen\Charly\
Anwendungsdaten\svchost.exe. Diese svchost.exe ist auch unter dem genannten Pfad vorhanden. Wenn ich bei NIS beheben klicke, kommt die grüne Meldung Alle Sicherheitsrisiken
erfolgreich entfernt. Die Datei svchost.exe ist dann nicht mehr im o.g. Pfad.
Nach einem Neustart ist die Datei jedoch wieder an ihrem alten Platz und NIS macht mich wieder auf die Trojan.Gen aufmerksam. Es dreht sich also alles im Kreis.
Ich habe unter einem Bart-Notstartsystem bereits schon alle Temp-Ordner geleert, aber ohne damit eine Besserung erreicht zu haben.
Was kann ich noch tun ?
Für hilfreiche Tipps im Voraus schon herzlichen Dank.

Gruß
Charly

du musst den Trojaner aus dem Autostart nehmen, sonst startet er beim Neustart immer wieder.
http://www.wintotal.de/tipparchiv/?id=233

Lade dir bitte Malwarebytes Anti-Malware Freeware runter, der sich auf Trojaner spezialisiert hat und führe ihn per Kurzanleitung aus.
Danach noch 2 Rootkits-Scan durchführen - Gmer und RootkitRevealer.
Führe einen kompletten Scan von NIS aus und berichte dann.

pan_fee

Wie wäre es mit Deaktivierung der Systemwiederherstellung? Danach Entfernen vom Trojaner, Neustart vom Rechner, dann den Komplettscan durch Norton und erst danach wieder die Systemwiederherstellung aktivieren

genau, vergessen ....
Nachdem die Systemwiederherstellung deaktiviert wurde, wird der Inhalt des Ordners System Volume Information gelöscht und dadurch der evtl. schon gesicherte Trojaner in der SWH eliminiert.

pan_fee

Hallo WinSimba und PCDpan_fee,

weil mir die von WinSimba vorgeschlagene Lösung einfacher erschien, habe ich sie jetzt insgesamt 3 x probiert. Immer ist jedoch nach dem Neustart die Datei wieder im besagten
Ordner vorhanden und wird nach ca. 3-4 Minuten von NIS gefunden. Die vorgeschlagene Detektivarbeit in der Registry habe ich durchgeführt, aber es ist für mich keine verdächtige
Autostart-EXE erkennbar.
@Pan-fee: Ich werde gleich Morgen die von dir vorgeschlagenen Programme ausführen und darüber berichten. Jetzt muss ich meine Frau ausführen, sonst gibts Ärger !

Gruß
Charly

Charly2801 schrieb:

weil mir die von WinSimba vorgeschlagene Lösung einfacher erschien ...

Zum Vergrößern anklicken....

das ist keine Lösung oder Bereinigung, der Trojaner ist trotzdem noch auf deinem System.
Durch das Abschalten der Systemwiederherstellung verhinderst du nur, dass sich der Trojaner, falls du die Systemwiederherstellung verwendest, wieder aktivierst. Die SWH soll auch erst wieder aktiviert werden, wenn das System sauber ist.

Wird nur die svchost.exe von NIS gefunden? Wird sie genauso geschrieben?

Es gibt noch eine Systemdatei namens svchost.exe (System Generic Host Process for Win32 Services), sie liegt im system32-Verzeichnis. Die Systemdatei fasst mehrere gestartete Services in der Registry zusammen und taucht deshalb im Taskmanager auch öfter auf.

Den Trojaner svchost.exe solltest du eigentlich schon in der Registry unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
und
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
und
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
finden

pan_fee

hallo Charly,
Entfernen vom Trojaner hattest du wohl überlesen?

WinSimba schrieb:

Wie wäre es mit Deaktivierung der Systemwiederherstellung? Danach Entfernen vom Trojaner, Neustart vom Rechner, dann den Komplettscan durch Norton und erst danach wieder die Systemwiederherstellung aktivieren

Zum Vergrößern anklicken....

Hallo WinSimba,
ich habe die von dir vorgeschlagene Prozedur 3x nacheinander gemacht. Natürlich habe ich immer nach dem Deaktivieren der Systemwiederherstellung den Trojaner mit NIS gelöscht.
Er war dann vor dem Neustart nicht mehr im Ordner C:\doku.. \Charly\Anwendungsdaten enthalten, d.h. im Ordner Anwendungsdaten war die Datei Svchost.exe nicht mehr enthalten.
Nach dem Neustart war sie aber wieder drinn und wurde auch so nach ca. 2-3 Minuten von NIS gefunden.
@pan_fee: Die Registryeinträge habe ich schon nach deiner ersten Antwort nach Anleitung des Links durchsucht. Eben habe ich sie nochmals durchsucht. Eine verdächtige EXE ist dort
nicht enthalten, sondern nur Einträge, die von mir gewollt und notwendig sind. Keinesfalls ist jedoch eine svchost.exe dabei.
Soll ich heute die von dir vorgeschlagenen Scanner runterladen und ausführen ?

Gruß
Charly

hallo Charly,
dann laß mal den NIS Support an den Rechner an - LiveSitzung mit NIS starten (ist kostenlos)

Man muss ja nicht bei jedem Wehwehchen gleich nach dem Doktor rufen.

Der Autostartordner wurde wohl noch immer nicht von dem Trojaner bereinigt, oder?

Sehr gut kann man es mit diesem Tool:

http://www.chip.de/downloads/Autoruns_20358751.html

Spitzwegerich schrieb:

Man muss ja nicht bei jedem Wehwehchen gleich nach dem Doktor rufen.

Der Autostartordner wurde wohl noch immer nicht von dem Trojaner bereinigt, oder?

Sehr gut kann man es mit diesem Tool:

http://www.chip.de/downloads/Autoruns_20358751.html

Zum Vergrößern anklicken....

@Spitzwegerich,
aber sonst gehts dir gut?
Wozu glaubst du eigentlich gibt es Live-Support welcher in den jährlichen Lizenzgebühren mitbezahlt wird?
Meinst du daß z.B.der Norton Power Eraser angebracht wäre. Könnte imho durchaus sein.
Ich nehm was aus dem Autostart-Ordner und damit ist die Malware weg - ja, schön, wärs.

Hallo Spitzwegerich,

wie ich schon 2x geschrieben habe, ist der Autostart ohne Ergebnis mehrmals durchsucht worden. Wo nichts ist, kann man nichts bereinigen.
Trotzdem habe ich dein beschriebenes Programm installiert und den Autostart mit ihm nochmals intensiv durchsucht. Ohne Ergebnis. Alle Einträge
sind von mir gewollt und es ist kein Unbekannter dabei.

Gruß
Charly

WinSimba schrieb:

@Spitzwegerich,
aber sonst gehts dir gut?

Zum Vergrößern anklicken....

So mittelprächtig. Danke für die Nachfrage.

Warum werden eigentlich die Log-Dateien von den Scans nicht gepostet?

Falls hier dann keine Lösung gefunden wird, kann er sich immer noch an den kostenlosen Norton-Support wenden. Es gibt übrigens auch einen für 99,99 €.

Hallo,

Entwarnung !! Weil ich den kostenlosen Support nicht gefunden habe, sondern nur den für 99,99 Euro, habe ich das Programm Norton Power Eraser
installiert und ausgeführt. Auch dieses Programm fand sofort die infizierte svchost.exe und entfernte sie. Nach dem Neustart kam von NIS die Meldung,
dass svchost.exe an der Ausführung verhindert wurde und mein System sicher sei. Tatsächlich ist die Datei nicht mehr bei \\\\Anwendungsdaten enthalten.
Es muss zwar noch irgendeine Funktion vorhanden sein, die die Ausführung der Datei nach dem Systemstart will, aber NIS verhindert dies nunmehr.
Damit kann ich leben.
An alle nochmals herzlichen Dank.

Gruß
Charly

Charly,
der kostenlose Support findet sich unter Service & Support - Chat oder so ähnlich

Von wegen kostenloser Service....: :

Kostenloser Support im Forum sowie per Online-Chat und Telefon nur beim Upgrade auf die neueste Version.

Zum Vergrößern anklicken....

http://de.norton.com/support/productdetail/contact_ts.jsp?pvid=nis_2008

Charly2801 schrieb:

Nach dem Neustart kam von NIS die Meldung, dass svchost.exe an der Ausführung verhindert wurde und mein System sicher sei. Tatsächlich ist die Datei nicht mehr bei \\\\Anwendungsdaten enthalten.
Es muss zwar noch irgendeine Funktion vorhanden sein, die die Ausführung der Datei nach dem Systemstart will, aber NIS verhindert dies nunmehr.

Zum Vergrößern anklicken....

du weißt aber schon, dass der Trojaner noch auf deinem System vorhanden ist ...

Zeigt NIS denn nicht an, von wo der Trojaner starten will? ???

pan_fee

Spitzwegerich schrieb:

Von wegen kostenloser Service....: :

Kostenloser Support im Forum sowie per Online-Chat und Telefon nur beim Upgrade auf die neueste Version.

Zum Vergrößern anklicken....

http://de.norton.com/support/productdetail/contact_ts.jsp?pvid=nis_2008

Zum Vergrößern anklicken....

wo ist das Problem?
Symantec hat im Lizenzpreis den kostenlosen Upgrade auf die neueste Version enthalten.
Wusstest du nicht? Keine Schande, aber man sollte sich mit Kommentaren auch mal zurückhalten wenn man nur Verwirrung anstiftet.

(Hinweis: wenn die Lizenz verfallen ist, gibt es auch keine Updates mehr und das ist dann der Zeitpunkt wo man sich entweder für eine Freeware entscheiden muß oder eben neu bezahlt).

Ach, ich stifte also Verwirrung mit unqualifizierten Äußerungen.

Dann ade!

Hallo,

auf den Rat von PanFee suchte ich nun nochmals alle aktuellen Protokolle von NIS durch und wurde fündig. Als NIS nur immer die beim Neustart installierte Svchost.exe entfernte,
war auch immer nur in den Protokollen die erfolgreiche Entfernung der Datei aufgelistet, aber nirgends war der Ursprung der Datei vermerkt (oder ich habe es evtl. überlesen).
Nachdem durch Norton Power Eraser NIS sensibilisiert wurde, hat ja NIS nach einem Neustart die Installation von Svchost.exe verhindert. Beim Durchstöbern der Protokolle
stieß ich auf eine Datei cryptete.exe. Google kennt diese Datei übrigens nicht ! Beim Doppelklick auf cryptete.exe kam sofort die Meldung von NIS, dass die Installation von svchost.exe verhindert wurde. Der Übeltäter war also überführt ! Ich benannte die Datei einfach um und seitdem kommen keine Meldungen von NIS mehr.
Warum die cryptete.exe bei einem Neustart ausgeführt wird, konnte beim Durchsuchen der Registry leicht herausgefunden werden, weil es in HKCU/run enthalten ist.
Schlauerweise aber nicht als cryptete.exe, sondern als WINZIP. Deshalb bin ich auch nicht misstrauisch geworden.
Die Sache ist also endgültig erledigt !

@ Spitzwegerich und WinSimba: Ihr habt euch wirklich große Mühe gegeben, mein Problem zu lösen und seid euch deswegen ein klein wenig in die Haare gekommen. Ich fühle mich
deswegen etwas schuldig. Bitte vertragt euch wieder ! Freut euch bitte mit mir über das gelöste Problem.

Gruß
Charly