Trojaner TR/Swizzor.GF

Thema ist geschlossen!
Thema ist geschlossen!
#0
21.08.2005, 14:19
Member

Beiträge: 16
#1 Hallo,

hier sind ja einige Dinge zu diesen Trojanern veröffentlicht. Der Virenscanner (AntiVir) findet täglich mehrmals den Trojaner. Auch mit dem Programm ewido hatten wir keinen Erfolg. Auf dem Desktop erscheint auch des Öfteren sowas wie "Ringtones" oder "Flirt...", "OnlineCasino".
Da ja jedes System ziemlich einzigartig ist, poste ich hier mal meine Datei:

Logfile of HijackThis v1.99.1
Scan saved at 14:10:35, on 21.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\SONSTI~1\CDVERW~1\CDVERW~1.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\o2\Mobile Internet von o2 für Pocket PC\autoupdate_srv.exe
C:\Programme\OpenOffice.org1.1.4\program\soffice.exe
C:\PROGRA~1\SOFTWA~1\soproc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\explorer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\LaWa\Eigene Dateien\04 Downloads\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coljomoqsfqkhxizao.com/wQpYEqfwiWfSqANDXezBNQmaKd4bBtQ5gg9SEBELCak.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9A22371D-48D0-DE8C-0E0C-A4EF74FBCE9F} - C:\DOKUME~1\LaWa\ANWEND~1\mathdata\Bias Once.exe (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {C1E1C2BB-D50E-DAD4-5835-BF09B02E5653} - C:\DOKUME~1\LaWa\ANWEND~1\mathdata\Software lies.exe (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: NewsStand Toolbar - {6E94ACD5-2C6A-48AC-84EF-A4DE746D385F} - C:\Programme\NewsStand\Reader\NSIEToolbar.dll
O3 - Toolbar: (no name) - {0C7B5500-24FE-31F4-233F-459432AD6A18} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CD Verwaltung] C:\SONSTI~1\CDVERW~1\CDVERW~1.EXE /tray
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [PSDrvCheck] "C:\Programme\Pinnacle\Instant PhotoAlbum\programs\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [rdrprocmorebook] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\InternetThunk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [IntraAxisWaveSave] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\title math.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Online rdr] C:\DOKUME~1\LaWa\ANWEND~1\INSIDE~1\partclose.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [SOProc_RegSoAlertAjWx1Nn] rundll32 shell32.dll,ShellExec_RunDLL C:\PROGRA~1\SOFTWA~1\soproc.exe -pack RegSoAlertAjWx1Nn
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Startup: wmplayer.exe.lnk = C:\Programme\Windows Media Player\wmplayer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mobile Internet von o2 für Pocket PC Update Agent.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\SONSTI~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\SONSTI~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/czhGw1BGWR_djz29oDgXjQ1/vod/dmd/WMDownload.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFFBBCFB-88FE-4EAB-9202-0DB9B66FA2AA}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Ich danke Euch schonmal für die wertvollen Tipps, die mir hoffentlich einen Virenfreien Rechner bescheren! Euch noch ein schönes WE!
Seitenanfang Seitenende
21.08.2005, 15:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Danny.L

Messenger Plus! 3 deinstallieren (ist "Schuld" an der Verseuchung)

alle Dateien und Ordner anzeigen
Im Windows-Explorer -- Extras -- Ordneroptionen -- den Reiter "Ansicht" -- Versteckte Dateien und Ordner -- "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer -- Extras -- Ordneroptionen -- den Reiter "Ansicht"-- Dateien und Ordner - "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren



öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coljomoqsfqkhxizao.com/wQpYEqfwiWfSqANDXezBNQmaKd4bBtQ5gg9SEBELCak.html
O2 - BHO: (no name) - {9A22371D-48D0-DE8C-0E0C-A4EF74FBCE9F} - C:\DOKUME~1\LaWa\ANWEND~1\mathdata\Bias Once.exe (file missing)
O2 - BHO: (no name) - {C1E1C2BB-D50E-DAD4-5835-BF09B02E5653} - C:\DOKUME~1\LaWa\ANWEND~1\mathdata\Software lies.exe (file missing)
O3 - Toolbar: (no name) - {0C7B5500-24FE-31F4-233F-459432AD6A18} - (no file)
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [CD Verwaltung] C:\SONSTI~1\CDVERW~1\CDVERW~1.EXE /tray
O4 - HKLM\..\Run: [rdrprocmorebook] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\InternetThunk.exe
O4 - HKLM\..\Run: [IntraAxisWaveSave] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\title math.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [Online rdr] C:\DOKUME~1\LaWa\ANWEND~1\INSIDE~1\partclose.exe
O4 - HKCU\..\Run: [SOProc_RegSoAlertAjWx1Nn] rundll32 shell32.dll,ShellExec_RunDLL C:\PROGRA~1\SOFTWA~1\soproc.exe -pack RegSoAlertAjWx1Nn
O4 - Startup: wmplayer.exe.lnk = C:\Programme\Windows Media Player\wmplayer.exe

PC neustarten-->in den abgesicherten modus


deinstallieren:
NewDotNet
Messenger Plus! 3
SinEspias\no-spy

loeschen:
C:\DOKUME~1\LaWa\ANWEND~1\mathdata\Bias Once.exe
C:\DOKUME~1\LaWa\ANWEND~1\mathdata\Software lies.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\InternetThunk.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\title math.exe
C:\DOKUME~1\LaWa\ANWEND~1\INSIDE~1\partclose.exe

wieder im Normalmodus:

CCleaner ccleaner.com/ccdownload
----- lösche alle *temp-Dateien ------
http://virus-protect.org/temp.html

Systemwiederherstellung deaktivieren
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

arbeite den escan ab, er wird die restlichen verseuchten Dateien finden, die ich nicht sehen kann.
poste den Logreport vom SCan
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2005, 16:06
Member

Themenstarter

Beiträge: 16
#3 Hallo Sabina,

ich danke Dir erstmal, dass Du Dir das Wochende für uns Hilfesuchenden um die Ohren schlägst! Mit einer so flinken Antwort hätte ich garnicht gerechnet.

Ich habe also angefangen, Deine Anweisungen zu befolgen und dabei bin ich auf folgende Probleme gestoßen:

nach dem fixen sollte ich Prgramme deinstallieren
Messenger Plus! 3 ist entfernt
NewDotNet + SinEspias/no-spy diese kann ich nicht finden, ich weiß nicht, wie ich sie deinstallieren soll

die von Dir beschriebenen Dateien, die ich löschen sollte, sind ebenfalls nicht auffindbar (habe auch die ersten Anweisungen zur Sichtbarmachung befolgt)

Und als vorerst letztes Problem der cCleaner, habe ihn runtergeladen, jedoch lässt er sich nicht installieren. Hatte dies auch im abgesicherten Modus versucht, aber egal wie, ich habe keinen Erfolg!

Wäre schön, wenn Du mir weiter helfen könntest, und nochmals vielen Dank bis hierher!!!

Danny
Seitenanfang Seitenende
21.08.2005, 16:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 mache es so: deaktiviere die Systemwiderherstellung und:

clearprog.-->loeschen temp-Dateien
http://www.clearprog.de/downloads.php
Das Programm löscht die Surfspuren des Browsers:
- unterstützte Browser: Internet Explorer, Netscape, Mozilla, FireFox und Opera
- Cookies (mit Ausschlußmöglichkeit)
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat


HijackThis (Uninstall Manager)
*öffne HijackThis
*click Config - Misc Tools - "Open Uninstall Manager" - "Save List" (generates uninstall_list.txt)
*click - Save - *nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

arbeite den escan ab, er wird die restlichen verseuchten Dateien finden, die ich nicht sehen kann.
poste den Logreport vom SCan
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2005, 22:09
Member

Themenstarter

Beiträge: 16
#5 Hallo Sabina,

clearprog ausgeführt. Danach habe ich wie angewiesen die Hijackdatei erstellt:


...so, ich stell das erstmal rein. Die Log-Datei von escan ist so groß, dass ich schon zwei Anläufe ohne Ergebnis abbrechen mußte um sie hierein zu bekommen.

Nachtrag: Auch nach unzähligen Versuchen (zur Hälfte o.ä.) habe ich es nicht geschafft. Vielleicht hast Du dazu ja auch noch einen Tipp!
Dieser Beitrag wurde am 21.08.2005 um 22:41 Uhr von Danny.L editiert.
Seitenanfang Seitenende
22.08.2005, 00:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 •Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"

My Search Bar
New.net Domains 6.38
-----------------------------------------------------------------------------

stelle den ersten teil rein, dann schreib ich irgendwas und dann kannst du den 2.Teil posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.08.2005, 16:05
Member

Themenstarter

Beiträge: 16
#7 Hallo Sabina,

alle Versuche helfen nichts. Das Forum sagt ständig, der Text wäre zu lang oder interessanter Weise auch der Text sei zu kurz.

Gibt es irgendwie die Möglichkeit Dir die Datei zukommen zu lassen?


Die Programme sind deinstalliert, allerdings hatte ich ein Problem beim New.net Domains 6.38. Dort kam eine Fehlermeldung die angab das Prgramm sei eventuell bereits deinstalliert.


Danny
Seitenanfang Seitenende
22.08.2005, 22:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 nun gut, poste hier einen Teil, den anderen per PM (an Sabina schicken)

poste einen Teil in die Threads, die du schon geschrieben hast , dort ist noch Platz...irgendwie ;)

Dinge, die sich wiederholen, brauchst du nicht abzukopieren, ...)

Es ist eine LOP-Verseuchung...und da wird sich viel wiederholen.
Ich brauche nur die Eintraege fuer die C:\Dokumente und Einstellungen\User\Anwendungsdaten

siehe hier:
http://virus-protect.org/Artikel/spyware/lop.html

Dort setzt sich der Lop fest...
und die Dateien von VolumeSystem brauche ich auch nicht....)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.08.2005, 20:43
Member

Themenstarter

Beiträge: 16
#9 Hallo Sabina,

ich hoffe die folgenden Daten sind genau dass, was Du sehen wolltest. Sollte dies nicht sein, bitte ich um kurze Nachricht!!!

Sun Aug 21 20:08:22 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Admin data.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken.

Sun Aug 21 20:08:22 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\AntiFour.exe
Sun Aug 21 20:08:23 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\AntiFour.exe tagged as "not-a-virus:AdWare.Lop.j". Action Taken: No Action Taken.

Sun Aug 21 20:08:23 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Bend program.exe
Sun Aug 21 20:08:23 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Bend program.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:23 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\BoneSettings.exe
Sun Aug 21 20:08:24 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\BoneSettings.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:24 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\close win.exe
Sun Aug 21 20:08:24 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\close win.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:24 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Dale Tick.exe
Sun Aug 21 20:08:24 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Dale Tick.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:24 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\drvkeep.exe
Sun Aug 21 20:08:25 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\drvkeep.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:25 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\DupeSecond.exe
Sun Aug 21 20:08:25 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\DupeSecond.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:25 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Grey Ref.exe
Sun Aug 21 20:08:26 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Grey Ref.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:26 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Info Bird.exe
Sun Aug 21 20:08:26 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Info Bird.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:26 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\lies blah.exe
Sun Aug 21 20:08:26 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\lies blah.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:26 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Mail Keep.exe
Sun Aug 21 20:08:27 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Mail Keep.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:27 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Proc Clock.exe
Sun Aug 21 20:08:27 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Proc Clock.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:27 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\ShimLive.exe
Sun Aug 21 20:08:28 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\ShimLive.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:28 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\startlicense.exe
Sun Aug 21 20:08:28 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\startlicense.exe tagged as "not-a-virus:AdWare.Lop.j". Action Taken: No Action Taken.

Sun Aug 21 20:08:28 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Stop store dart [**]
Sun Aug 21 20:08:28 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\title math.exe
Sun Aug 21 20:08:28 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\title math.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken.

Sun Aug 21 20:08:28 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\user start.exe
Sun Aug 21 20:08:29 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\user start.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:32 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\ANTI JUNK.exe
Sun Aug 21 20:08:32 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\ANTI JUNK.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:32 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\Dash 32.exe
Sun Aug 21 20:08:33 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\Dash 32.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:33 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\Idle First.exe
Sun Aug 21 20:08:33 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\Idle First.exe infected by "Trojan.Win32.Krepper.ab" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:33 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\InternetThunk.exe
Sun Aug 21 20:08:33 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\InternetThunk.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:08:33 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\Move Tool.exe
Sun Aug 21 20:08:34 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\Move Tool.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:08 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\bztmftxd.exe
Sun Aug 21 20:09:09 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\bztmftxd.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:09 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\D43322FA [**]
Sun Aug 21 20:09:09 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\Defy Glue Mfcd.exe
Sun Aug 21 20:09:09 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\Defy Glue Mfcd.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:09 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\dovetxkn.exe
Sun Aug 21 20:09:09 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\dovetxkn.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:09 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\fqxslnae.exe
Sun Aug 21 20:09:10 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\fqxslnae.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:10 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\gfbjqhbc.exe
Sun Aug 21 20:09:10 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\gfbjqhbc.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:10 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\gntuurqy.exe
Sun Aug 21 20:09:11 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\gntuurqy.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:11 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\gpndxpqd.exe
Sun Aug 21 20:09:11 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\gpndxpqd.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:11 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\hnucgzmz.exe
Sun Aug 21 20:09:11 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\hnucgzmz.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:11 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\jomzyfjn.exe
Sun Aug 21 20:09:12 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\jomzyfjn.exe tagged as "not-a-virus:AdWare.Lop.j". Action Taken: No Action Taken.

Sun Aug 21 20:09:12 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\jpjcqvgc.exe
Sun Aug 21 20:09:12 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\jpjcqvgc.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:12 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\knpromvu.exe
Sun Aug 21 20:09:12 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\knpromvu.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken.

Sun Aug 21 20:09:12 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\opnvhzri.exe
Sun Aug 21 20:09:13 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\opnvhzri.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:13 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\qlrbxiub.exe
Sun Aug 21 20:09:13 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\qlrbxiub.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:13 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\ragmvtim.exe
Sun Aug 21 20:09:14 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\ragmvtim.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:14 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\rktjwdgg.exe
Sun Aug 21 20:09:14 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\rktjwdgg.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken.

Sun Aug 21 20:09:14 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\tpkuzymu.exe
Sun Aug 21 20:09:14 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\tpkuzymu.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:14 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\tthnptay.exe
Sun Aug 21 20:09:15 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\tthnptay.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:15 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\uuqbtxdm.exe
Sun Aug 21 20:09:15 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\uuqbtxdm.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:15 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\wihibbqj.exe
Sun Aug 21 20:09:16 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\wihibbqj.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:16 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\yuqwtfxb.exe
Sun Aug 21 20:09:16 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\yuqwtfxb.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.

Sun Aug 21 20:09:16 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\zenpoztb.exe
Sun Aug 21 20:09:16 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\zenpoztb.exe tagged as "not-a-virus:AdWare.Lop.j". Action Taken: No Action Taken.

Sun Aug 21 20:09:16 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\zhbfkpmo.exe
Sun Aug 21 20:09:17 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\zhbfkpmo.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken.
Seitenanfang Seitenende
23.08.2005, 22:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Danny.L

nun weiss du ja, was du manuell loeschen musst (alles im abgesicherten modus ...und auch die unterordner loeschen)

C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc

wenn das geloescht ist + alle Unterordner + alle temp-Dateien ebenfalls....

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.08.2005, 20:43
Member

Themenstarter

Beiträge: 16
#11 Hallo Sabina,

mit einem Tag Pause habe ich mich mal wieder daran gemacht Deine Ratschläge zu befolgen. Leider weiß ich nicht genau, was ich machen sollte und hoffe alles richtig gemacht zu haben.

Also ich habe die angegebenen Pfade also den betreffenden Ordner komplett gelöscht. Danach habe ich über die Datenträgerbereinigung die tmp-Dateien entfernt.

So nachdem ich Dein Progrämmchen gestartet hatte kam dieser Text (im abgesicherten Modus):

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 584E-E47D

Verzeichnis von C:\WINDOWS\tasks

28.03.2005 09:43 <DIR> .
28.03.2005 09:43 <DIR> ..
25.08.2005 20:00 232 A7F51101915684F9.job
25.08.2005 20:00 260 ABDF88A091A03DF8.job
25.08.2005 20:00 232 ADB0496A9187FCEA.job
25.08.2005 20:00 260 AF9243A39181F507.job
29.08.2002 14:00 65 desktop.ini
25.08.2005 20:28 6 SA.DAT
6 Datei(en) 1.055 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Desktop


So, sollte was nicht richtig gewesen sein, dann bitte ich um weitere Anweisungen!

Danny
Seitenanfang Seitenende
25.08.2005, 23:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h A7F51101915684F9.job
attrib -r -s -h ABDF88A091A03DF8.job
attrib -r -s -h ADB0496A9187FCEA.job
attrib -r -s -h A7F51101915684F9.job
del A7F51101915684F9.job
del ABDF88A091A03DF8.job
del ADB0496A9187FCEA.job
del AF9243A39181F507.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

Poste nochmals findjobs.bat


arbeite das bitte ab;)bitte auch die pfade mit abkopieren)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.08.2005, 15:08
Member

Themenstarter

Beiträge: 16
#13 Hallo Sabina,

habe die Anweisungen befolgt (im Normalmodus). Das Fenster öffnete sich kurz. Hier nun der komplette Text der Findjob.txt:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 584E-E47D

Verzeichnis von C:\WINDOWS\tasks

26.08.2005 15:06 <DIR> .
26.08.2005 15:06 <DIR> ..
26.08.2005 13:00 260 AF9243A39181F507.job
29.08.2002 14:00 65 desktop.ini
26.08.2005 12:34 6 SA.DAT
3 Datei(en) 331 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\LaWa\Desktop

Hab ich was falsch gemacht? Was machen wir hier, ich würde es auch gern verstehen.

Danny
Seitenanfang Seitenende
26.08.2005, 23:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14

Zitat

Was machen wir hier, ich würde es auch gern verstehen.
Wir loeschen die Malware ;) ;)

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AF9243A39181F507.job
del AF9243A39181F507.job

- Speichern als: rem.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate rem.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

Poste nochmals findjobs.bat

-----------------------------------------------------------------------

datfind.bat

arbeite das bitte ab auch die pfade mit abkopieren)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.08.2005, 09:01
Member

Themenstarter

Beiträge: 16
#15 Hallo Sabina,

ausgeführt und folgende findjob.txt für Dich:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 584E-E47D

Verzeichnis von C:\WINDOWS\tasks

27.08.2005 08:59 <DIR> .
27.08.2005 08:59 <DIR> ..
29.08.2002 14:00 65 desktop.ini
27.08.2005 08:56 6 SA.DAT
2 Datei(en) 71 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\LaWa\Desktop

Bin ja gespannt, welche interessanten Dinge da noch folgen ;-)!

Danny
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: