Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Trojer nicht zu löschen

matthew76 / 27 Antworten / Baumansicht Nickles

Hallo Zusammen :)
ich habe trotz Zonealarm Firewall und Norton Antivirus 05 einen Trojaner auf dem System.

Und zwar folgender:
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\sstqo.dll

Norton antivirus erkennt ihn zwar, kann ihn aber (wie so oft) nicht löschen.

Manuell löschen kann ich ihn nicht, da er vom System derzeit verwendet wird.
Im Taskmanager kann ich ihn nicht auffinden um den Prozess zu stoppen.
Spybot findet ihn nicht.
Wenn ich über abgesicherten Modus oder VGA Modus starte habe ich das selbe Problem, der Trojaner ist gestartet bevor ich ihn löschen kann.
Beim Versuch ihn über die Eingabeaufforderung zu löschen wiedermals die Fehlermeldung "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird."

Den Hijackthis- Eintrag habe ich euch gepostet, fixen kann ich ihn nicht.

Der Trojaner heißt wie ihr oben lesen könnt "sstqo.dll".
Wie bekomme ich ihn runter?

Ich bitte euch um eure Hilfe und bedanke mich schonmal für jede Hilfe.

mfg matthias

[Diese Nachricht wurde nachträglich bearbeitet.]

bei Antwort benachrichtigen
matthew76 Nachtrag zu: „Trojer nicht zu löschen“
Optionen

Format...Nur wenns wirklich sein muss. Bis jetzt hab ich noch alles runterbekommen. Alles eine Frage der Geduld/Zeit.
Was ich nicht verstehen kann ist das der Norton nicht einen Trojanerprozess unterbrechen kann um ihn somit zu löschen.

Danke.

mfg matthias

bei Antwort benachrichtigen
Conqueror matthew76 „Format...Nur wenns wirklich sein muss. Bis jetzt hab ich noch alles...“
Optionen

Das klingt ein weini "überheblich !!!!!!!!! Das würde ich nicht mal behaupten. Da Du den Trojaner generell nicht kennst, weißt Du nicht, ob er seiterseits "mutiert" ist, ergo kannst Du Deinem PC nicht mehr vertrauen.
Selbst Virenscannerfirmen raten dazu, den PC bei "Befall" neu aufzusetzen. Und dies nicht ohne Grund.

bei Antwort benachrichtigen
Martin117 matthew76 „Format...Nur wenns wirklich sein muss. Bis jetzt hab ich noch alles...“
Optionen

"Bis jetzt hab ich noch alles runterbekommen."

Wie kommt es überhaupt so weit, dass was drauf ist?
Da müssen doch die Glocken Alarm schlagen.

bei Antwort benachrichtigen
ostseekrabbe matthew76 „Format...Nur wenns wirklich sein muss. Bis jetzt hab ich noch alles...“
Optionen

dann wünsche ich dir viel spass dabei winhound zu beseitigen wenn du noch alles geschafft hast. ohne hilfe kriegst du das nicht hin, wetten? ist im internet beschrieben, es geht aber nicht mit bekannten hausmitteln und einfach löschen und bischen registry bearbeiten. ich habe es vorgezogen das spielsystem neu aufzusetzen.

wichtige daten sollten nicht auf der systempartition sein, im notfall fällt es dann leichter mit der neuinstallation. besser und einfacher wie beschrieben mit image oder einem virtuellen rechner.

änder deine einstellung zu "ich kann alles ist nur eine frage der zeit". sonst kann man dir nicht helfen. bei google ist dein sstqo.dll an der spitze! dein eintrag hier!!! echt geil wenn DU die lösung weisst, millionen anderer menschen hatten sie bisher nicht.

bei Antwort benachrichtigen
matthew76 Nachtrag zu: „Trojer nicht zu löschen“
Optionen

Wie sieht es mit einem erweiterten Task Manager aus? Kann man über ihn den unerwünschten Prozess aufspüren und beenden?

matthias

bei Antwort benachrichtigen
siebenkäs matthew76 „Wie sieht es mit einem erweiterten Task Manager aus? Kann man über ihn den...“
Optionen

Wenn du gar nicht auf die Ratschläge hier hören magst, boote von 'ner CD mit guten Scan-Engines und aktuellen Signaturen drauf.
Sowas im laufenden Betrieb zu entfernen ist eigentlich kompliziert bis unmöglich. Und selbst wenn du den Prozess in welchem Process Explorer auch immer
aufspüren kannst, wirst du ihn wahrscheinlich genauso wenig beenden können wie den System Prozess.
Vielleicht haste ja Erfolg. Mein Rat jedoch: Hör auf meine Vorgänger in diesem Thread...

Gruss

Siebenkäs

"Only one thing is impossible for God: To find any sense in any copyright law on the planet."Mark Twain
bei Antwort benachrichtigen
Olaf19 siebenkäs „Wenn du gar nicht auf die Ratschläge hier hören magst, boote von ner CD mit...“
Optionen
Die c't 23/2005 wurde mit einer "Knopicillin"CD ausgeliefert (=Kaspersky und Sophos als Offline-Virenscanner von CD, basierend auf einem Linux-Unterbau).

Falls Matthew das Heft noch bekommen kann bzw. jemanden kennt, der es hat, könnte er damit die Viren versuchen aufzuspüren. Die ganze Handhabung inkl. Internet-Konfiguration und Aktualisierung der Signaturen ist einfach, intuitiv und selbsterklärend. Aber wie gesagt: Besser ist in diesem Fall, alles neu zu machen. Der Virenscan mit Knoppicillin ist sinnvoll, wenn man erforschen möchte, was noch alles an Viren drauf war - darauf verlassen, dass man alles wieder sauber bekommt, sollte man sich nicht.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Nörgler matthew76 „Trojer nicht zu löschen“
Optionen

Und wenn du nach dem Formatieren und Neuinstallieren des Systems erneut Norton installierst, dann brauchst du dich auch nicht zu wundern, wenn du demnächst wieder mit einer ähnlichen Sache hier aufschlägst. Nimm was anständiges!

Armes Deutschland!
bei Antwort benachrichtigen
kds Nörgler „Und wenn du nach dem Formatieren und Neuinstallieren des Systems erneut Norton...“
Optionen

@Nörgler

was wäre denn deiner meinung nach "was anständiges" ? stehe nämlich gerade vor einem ähnlichen problem. habe jetzt schon mal dsl-modem gegen router mit integrierter firewall ausgetauscht. habe aber immer noch virenscanner und firewall laufen (norton (-;).
wie ist das eigentlich mit den ports von tauschbörsen, und denen von server-programmen (wie zb. "mini-webserver von http://www.aidex.de/software/webserver/)? der wurde mal von nickles empfohlen. bleiben die ports offen, wenn man die programme beendet ? wenn ich mein system über diverse online-checks auf lücken scanne,...ist angeblich immer alles sicher.
habe, nachdem norton-online-virenscann ca. 8 befallene dateien gefunden hatte...diese manuell entfernt...und danach mein system noch mal von norton, bitdefender, und kaspersky online scannen lassen. diese programme haben nichts gefunden. habe mir dann "anti-trojan-elite" runtergeladen und übers system laufen lassen..dieses programm wurde dann noch in der registry fündig!
ist es nicht so,..dass wenn man halbwegs vernünftig abgesichert ist,...eindringlinge von aussen nahezu auszuschliessen sind,
diese "dinger" aber dann doch über die schwachstelle user ihren weg ins haus finden (öffnen von e-mail anhängen,..unvosichtige downloads, etc.)?

kds (-:

[Diese Nachricht wurde nachträglich bearbeitet.]

bei Antwort benachrichtigen
Nörgler kds „@Nörgler was wäre denn deiner meinung nach was anständiges ? stehe nämlich...“
Optionen

Sobald Norton ins Spiel kommt, wird meiner Erfahrung nach das System in Mitleidenschaft gezogen. In der Regel so stark, dass es nicht wieder in einen normalen Zustand zurück zu versetzen ist. Deshalb noch einmal, nimm etwas anderes als Norton. Wenn mir jemand kommt und Norton unter Windows laufen hat, dann wird das System neu aufgesetzt. Nimm AntiVir, Kaspersky und wie sie alle heißen. Dann noch Outpost, Kerio oder von mir aus auch ZoneAlarm. Aber lass um Himmels Willen nicht Norton ans laufende System. Das einzige Produkt, welches ich von Norton halbwegs empfehlen kann, ist Ghost. Und selbst das ist, seit True Image, für den normalen Anwender Geschichte. Und als Stichwort sei dann noch eigenverantwortlicher Umgang mit dem Internet und Datenträgern aus unbestimmbaren Quellen genannt.

Ob Norton oder direkt ein Virus, für mich, und das ist meine private Meinung, ist da mittlerweile, wie gesagt nach meinen Erfahrungen, fast kein Unterschied mehr. Wer schon mal mitbekommen hat, was man alles anstellen darf, wenn Norton einen unvorbereitet trifft und eine wichtige Datei in Quarantäne schickt, nehmen wir mal als Beispiel den komprimierten Mailbestand, der weiß was ich meine. Das Mailprogramm lässt sich unter Umständen nicht mal mehr öffnen und dann versuch mal an neue Mails zu kommen oder was vielleicht noch wichtiger ist an alte von mir aus wichtige Geschäftsmails. Gibt es nicht? Hast du eine Ahnung. Und dann kann man mal fein nach dem Tool suchen, das Symantec so wunderbar auf seiner Seite versteckt, um wieder an die Datei heran zu kommen. Nein, nein, welche Firma einen User mit einem Produkt so unmündig macht, rückt sich unweigerlich selber ins falsche Rampenlicht. Und das ist gewiss nur ein Beispiel. Was alles beim Deinstallieren dieses erstklassigen Virenscanners passieren kann ... Aber lassen wir das, irgendwie wird mir in der Magengegend flau.

Letzte Woche kam ich zu Bekannten. Haben sich ein gutes Asus-Notebook gekauft. War damals ein Tipp aus der Ferne, aber das Gerät macht einen sehr wertigen Eindruck. Kiste hochfahren lassen und dann war auch schon der erste Virus drauf, ohne dass das Gerät bisher auch nur ein einziges Mal im Netz war: Norton. Unfassbar, wie kann man sich den Schrott nur so gedankenlos installieren? Wird man doch nie wieder richtig los. Man, man, man.
Nächste Woche kauft sich ein Verwandter ein neues Notebook. Wo? Beim Blödmarkt. Ja leider, kann bzw. will nicht hören. Selbst schuld. In nem halben Jahr spätestens, steht der bei mir auf der Matte und dann darf jeder mal raten mit welchem Problem. Habe ihm klipp und klar im Vorfeld sowohl zum Blödmarkt, der Beratung dort und den beiliegenden Produkten zu den Notebooks ein Referat gehalten. Aber wer nicht hören will ...

Und wer mit meinen Aufzählungen über sinnvolle Produkte da oben nicht zufrieden ist, ja ich weiß, davon gibt es mehr als genug, der kann gewiss von dem einen oder anderen hier noch mehr Produkte genannt bekommen; sie stehen bestimmt schon mit scharrenden Hufen in den Startlöchern. Man kann es mit der Systemsicherheit bestimmt übertreiben, aber wer untertreibt oder Norton betreibt, dessen System bleibt irgendwann auf der Strecke (immer meine persönliche Meinung bzw. Erfahrung!). Manchmal hab ich den Eindruck, dass Murphy Zugriff auf die Kundendatei von Norton Antivirus hat.

So und jetzt geh ich mich ne Runde übergeben. Passiert in letzter Zeit immer häufiger, wenn mir ein ganz bestimmter Firmenname durch den Kopf geht. Soviel nur dazu, im Gegensatz zu Norton Antivirus ist ZoneAlarm ein zahmes Kätzchen. Damit ist das Thema für mich aber auch beendet. Ich will ein Wochenende ohne diesen Norton-Mist haben.

Armes Deutschland!
bei Antwort benachrichtigen
kds Nörgler „Sobald Norton ins Spiel kommt, wird meiner Erfahrung nach das System in...“
Optionen

@Nörgler

erst einmal vielen dank für deine umfangreiche antwort! also, was norton angeht, hast du (und ein nachträglicher besuch auf heise´s security seiten) mich überzeugt..werd´s gleich "for ever" deinstallieren.hier übrigens noch ein kurzer auszug von "heise":

News
Meldung vom 14.10.2004 17:47 [>]

Virenscanner übersehen Schädlinge

heise Security hat zusammen mit AV-Test 18 Virenscanner unter die Lupe genommen und überprüft, ob sie Schädlinge in Alternate Data Streams unter Windows entdecken. Von insgesamt 18 getesteten Produkten versagten Norton Antivirus 2004, Trend Internet Security, BitDefender, F-Prot für Windows und Ikarus Virus Utilities gänzlich. Acht fanden immerhin beim Zugriff des Anwenders auf eine mit einem Stream behaftete Datei den enthaltenen Virus. Nur fünf Scanner erkannten die Schädlinge in allen Disziplinen auf Anhieb.

..also danke nochmal für deine schnelle umfangreiche antwort !

kds (-:



[Diese Nachricht wurde nachträglich bearbeitet.]

bei Antwort benachrichtigen
Nörgler kds „@Nörgler erst einmal vielen dank für deine umfangreiche antwort! also, was...“
Optionen

Ich will nicht behaupten, dass wenn man immer ordentlich seine Knete abdrückt, man das von mir oben angesprochene Tool von Symantec stehts in der neuesten Version bereits besitzt, man nicht die Absicht hat Norton zu deinstallieren, einem diese unsäglich nervenden Popups nichts ausmachen und und und, dass Norton Antivirus nicht schützt.

Aber wer sich halbwegs etwas um seinen PC, sein Betriebssystem kümmert, wem es eben nicht vollkommen egal ist, was jegliche Software da so im Hintergrund treibt, der sollte von Norton Antivirus und auch Norton Internet Security die Finger lassen. Dies ist meine ganz persönliche Meinung und selbst garf wird zugeben, dass es Leute gibt, die diese Software benutzen aber keine Probleme mit ihrem System haben und trotzdem Online-Banking und dergleichen machen. Aber meine Sache ist es nicht.

Jeder Virenscanner wird mal so und mal so getestet. AntiVir ist mit Sicherheit, nach allem, was ich über Kaspersky so gehört habe, nicht das beste Virenprogramm, aber ich kann damit leben und habe damit noch nicht in die Scheiße gegriffen. Bis jetzt hab ich auch noch keine allzu großen Probleme mit ZoneAlarm gehabt. Aber auch Kerio hat sich auf weiteren Rechnern bewährt, meine ich zumindest. Outpost kenne ich persönlich nicht so gut.

Armes Deutschland!
bei Antwort benachrichtigen
eidannemo matthew76 „Trojer nicht zu löschen“
Optionen

@matthew76,

Garftemy ist ein kleiner Spaßvogel, lass Dich net verarschen, das schlimme ist nur, das er es vermutlich wirklich net besser weiß ^^

Also,

in der Computerverwaltung (Systemsteuerung ---> Verwaltung), kann man z.B. laufende Dienste (--->Dienste) beenden, vorausgesetzt, man weiß, welchen Dienst das File benutzt, wenn es beendet ist kann man es mit Sicherheit löschen.

Falls Du nicht weißt, welchen Dienst es benutzt, versuch die Datei mal im abgesicherten Modus von Windoof zu löschen oder in der Wiederherstellungskonsole (ist ja quasi Dos Modus) mit dem Del Befehl ( "DEL C:\WINNT\system32\sstqo.dll"), klappt das auch nicht, kannst Du es noch mit Knoppix oder Win Pe (Barts PE) versuchen, die CDs dürften bekannt sein ;).

UND WENN DAS ALLES NICHT KLAPPT, KANN MAN IMMER NOCH FORMATIEREN ;)

Sollte es wider erwarten doch klappen, musst Du noch den Schlüssel "00DBDAC8-4691-4797-8E6A-7C6AB89BC441" in der Reg löschen und denn müsste es gut sein.

PS:

Dumme Idee, aber...:
Lösche mal gleich den Regschlüssel (HijackThis kann den ja fixen), fahre den PC hoch und lösch dann die DLL... es könnte soooo einfach sein ^^




bei Antwort benachrichtigen
matthew76 Nachtrag zu: „Trojer nicht zu löschen“
Optionen

Hallo zusamme,
danke für die Hilfeversuche, ich denke ich werde den PC mal wieder formatieren müssen. Mich würde es mal interessieren @kds welche von Heise getesteten Antiviren Programme den Test erfolgreich bestanden haben.

@eidannemo
Vielen Dank für deine Hilfeversuche aber deine Ideen habe ich wie in meiner Nachricht beschrieben schon alle ausprobiert :-)

Da ich trotz Firewall und Antiviren Scanner einen Virenbefund habe, denke ich das ich mir nun einen Router zulegen werde, in der Hoffnung das nun damit Schluss ist.
Zudem werde ich mich nach einem vernümpftigen Virenscanner erkundigen.

Thnx matthias

bei Antwort benachrichtigen
Nörgler matthew76 „Hallo zusamme, danke für die Hilfeversuche, ich denke ich werde den PC mal...“
Optionen

"... ich denke ich werde den PC mal wieder formatieren müssen."

Vielleicht wirklich die beste Lösung. Viel Arbeit, aber wenn man sie einmal richtig gemacht hat und ab einem gewissen Zeitpunkt mit Images auf einem separaten Datenträger arbeitet, so ist man auf der sicheren Seite.

Norton zu deinstallieren ist riskant und kann dermaßen in die Hose gehen, dass das BS erst gar nicht mehr korrekt hoch fährt. Bei Norton ist alles möglich, quasi der Toyota der IT-Branche; nur nicht so gut ;-)

Armes Deutschland!
bei Antwort benachrichtigen
mantschge Nörgler „ ... ich denke ich werde den PC mal wieder formatieren müssen. Vielleicht...“
Optionen

Jaja... ich übergebe mich auch fast wenn ich Norton nur höre!!! Habe unwissenderweise die 2006 Version bei mir uf den PC und meiner Freundin auf dem Notebook installiert! Schande!! ...nichts läuft mehr auf dem Notebook, man kann es nur noch aufstarten, sonst aber kein einziges programm ausführen!!!
Mein PC bringt die meldung, dass ich "live update" ausführen soll, was aber wiederum nicht geht weil diese datei nicht gefunden wird. Die Empfehlung von Symantec: man solle neu installieren!!! Dieses bekackte Norton kann man weder neu installieren noch deinstallieren! Am liebsten würde ich Symantec verklagen!... all die schönen Nerven ...die Stunden...Tage...Weg.....hiermit erkläre ich mich zum offiziellen Symantekgegner, besser gesagt Symantec hasser!!!!!
.....gibts denn nichts was man tun kann um dieses Notron zu deinstallieren ohne gleich die festplatte zu löschn!!!

bei Antwort benachrichtigen
kds matthew76 „Trojer nicht zu löschen“
Optionen
bei Antwort benachrichtigen
matthew76 Nachtrag zu: „Trojer nicht zu löschen“
Optionen

Hallo zusammen,
ich habe Norton Antivirus deinstall. und Antivir drauf gepackt.
Antivir konnte ihn auch nicht löschen aber ich habe immerhinn rausbekommen wo der Regestrierungsschlüssel steckt.
Wenn ich nun in die Regedit reinngehe und den Schlüssel lösche, unbenenne oder überschreibe bestätigt er dies.
Wenn ich die Regedit schließe und erneut öffne muss ich feststellen das sich der Schlüssel wiederhergestellt hat :) Mistding.
Gibts da nen Trick wie man die Datei die den Schlüssel automatisch herstellt auffinden kann? Vielleicht ist es auch der Trojaner der noch am laufen ist, da ich den Prozess nicht beenden kann, und die gelöschten Schlüssel wieder regeneriert.

Zum verzweifeln. Ist echtmal ein hatnäckiger Trojaner.
Hat noch jemand ne Idee?

mfg Matthias

bei Antwort benachrichtigen
Martin117 matthew76 „Hallo zusammen, ich habe Norton Antivirus deinstall. und Antivir drauf gepackt....“
Optionen

Neu aufsetzen bleibt dir immer noch als Möglichkeit.
Ist wahrscheinlich das Sauberste.

bei Antwort benachrichtigen