Trojaner TR/Swizzor.GF |
||
---|---|---|
#0
| ||
23.09.2005, 16:23
...neu hier
Beiträge: 2 |
||
|
||
24.09.2005, 01:46
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@ShaDe45
scanne bitte mit escan und poste mir hier , was infected und target ist: http://virus-protect.org/escan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2006, 18:06
monsterbabe
zu Gast
|
#3
Hallo !!!
Ich habe da auch so ein kleines Problem mit diesem sch... Pony. Kann mir jemand helfen? Ich habe auch ein Logfile von hijacker. Über jede Hilfe wäre ich sehr dankbar. Logfile of HijackThis v1.99.1 Scan saved at 18:02:50, on 14.04.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AlienGUIse\wbload.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\vsnpstd.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Save\Save.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWare.exe C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Janine Matzke\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {F5117A78-7EF1-C869-45F1-69D35675BE2A} - C:\DOKUME~1\JANINE~1\ANWEND~1\MP3TWO~1\Log remote.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [Winactiveacecopy] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\01drvwinactive\mpeg heart.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Logon Loader Random] "C:\Programme\Logon Loader\LogonLoader.exe" /random O4 - HKLM\..\Run: [Logon Loader] "C:\Programme\Logon Loader\LogonLoader.exe" /tray O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SEEK BYTE] C:\DOKUME~1\JANINE~1\ANWEND~1\BAGSTH~1\Info Warn Corn.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCfox000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{CF727AB1-3143-42D8-89BC-059D8FE686AD}: NameServer = 192.168.0.1 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe |
|
|
||
14.04.2006, 18:27
Ehrenmitglied
Beiträge: 29434 |
#4
monsterbabe
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {F5117A78-7EF1-C869-45F1-69D35675BE2A} - C:\DOKUME~1\JANINE~1\ANWEND~1\MP3TWO~1\Log remote.exe O4 - HKLM\..\Run: [Winactiveacecopy] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\01drvwinactive\mpeg heart.exe O4 - HKCU\..\Run: [SEEK BYTE] C:\DOKUME~1\JANINE~1\ANWEND~1\BAGSTH~1\Info Warn Corn.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe" O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCfox000 PC neustarten 1. deinstalliere: C:\Programme\MessengerPlus! 3 2. arbeite das ab: http://virus-protect.org/artikel/spyware/lop1.html in deinem Fall zu loeschen ist: C:\Programme\Save C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\01drvwinactive C:\Dokumente und Einstellungen\JANINE~1\Anwendungsdaten\MP3TWO... C:\Dokumente und Einstellungen\JANINE~1\Anwendungsdaten\BAGSTH... wende Cleanup, Counterspy, dr.web und Panda-Online an ... loesche alles, was gefunden wird. alles abgearbeitet: Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat dir %Windir%\tasks /a h > files.txt- Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2006, 21:53
monsterbabe
zu Gast
|
#5
Danke für deine Hilfe es funktioniert nur leider nicht obwohl ich alles gemacht haben.
Ich frag einfach mal meinen Kumpel der hat Computertechnik gelernt und ist Systemadministrator. Mal schauen vielleicht weiß er ja weiter. Trotzdem danke dir. |
|
|
||
14.04.2006, 22:26
Ehrenmitglied
Beiträge: 29434 |
#6
monsterbabe
scheib mir, wo du haengengeblieben bist... und es fehlt auch noch die dir %Windir%\tasks /a h > files.txt notepad files.txt ansonsten bitte deinen Kumpel, dass er die Reinigung zu Ende fuehrt. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2006, 21:26
monsterbabe
zu Gast
|
#7
na ich habe alles gemacht. bin nirgens hängen geblieben. nur funktioniert es nicht. mein kumpel hat irgendwas anderes im abgesichtern modus gemacht und er war weg. aber jetzt isser wieder da und mein mann hat ihn jetzt auch plötlich drauf. wir sind über nen router verbunden. der router hat aber ne recht gute eigene firewall drin. aber firewall bringt bei viren glaub ich nichts.
|
|
|
||
16.04.2006, 15:22
Ehrenmitglied
Beiträge: 29434 |
#8
monsterbabe
dann poste hier die Logs vom HijackThis...von beiden PCs. gut waere auch, beide PCs mit dem Panda-Online zu scannen und hier den Scanreport zu posten. http://virus-protect.org/onlinescan.html so fische ich nicht im Trueben und kenne den Pfad der Malware __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.04.2006, 20:12
monsterbabe
zu Gast
|
#9
sorry war ein paar tage weg ich werds nachher mal machen
|
|
|
||
19.04.2006, 20:32
Ehrenmitglied
Beiträge: 29434 |
#10
Zitat monsterbabe postetebis jetzt haben es (fast) alle geschafft __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.04.2006, 16:00
monsterbabe
zu Gast
|
#11
ich habe es mal mit em panda-omline scan versucht aber der scann startet nicht
|
|
|
||
21.04.2006, 16:16
Ehrenmitglied
Beiträge: 29434 |
#12
monsterbabe
Dr.Web http://virus-protect.org/cureit.html Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren %userprofil%\doctorweb\cureit.log eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.04.2006, 04:41
monsterbabe
zu Gast
|
#13
ich habe den link angeklickt deroben steht aber er loadet nicht :-(
|
|
|
||
22.04.2006, 15:28
Ehrenmitglied
Beiträge: 29434 |
#14
Zitat monsterbabe posteteder Link laedt...du musst warten ...eventuell einige Minuten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.04.2006, 17:23
monsterbabe
zu Gast
|
#15
mein kumpel hat sich bei mir an pc gesetzt und irgendwas gemacht. auf jedenfall sind jetzt alle trojaner weg.
falls ich nochmal probleme habe meld ich mich nochmal ok |
|
|
||
hab von AntiVir den o.g. Trojaner gemeldet bekommen, hier mein Logfile.
Logfile of HijackThis v1.99.1
Scan saved at 16:27:14, on 23.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154pcicard\Installer\WINXP\DTPCI11GMonitor.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Benny\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.giga.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154pcicard.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154pcicard\Installer\WINXP\DTPCI11GMonitor.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06c00e1ce3a9ec3ab921/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122407397375
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7b77298065d0b9/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
Danke schonmal.