Trojaner TR/Swizzor.GF

#0
23.09.2005, 16:23
...neu hier

Beiträge: 2
#1 Moin,

hab von AntiVir den o.g. Trojaner gemeldet bekommen, hier mein Logfile.

Logfile of HijackThis v1.99.1
Scan saved at 16:27:14, on 23.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154pcicard\Installer\WINXP\DTPCI11GMonitor.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Benny\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.giga.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154pcicard.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154pcicard\Installer\WINXP\DTPCI11GMonitor.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06c00e1ce3a9ec3ab921/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122407397375
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7b77298065d0b9/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE


Danke schonmal.
Seitenanfang Seitenende
24.09.2005, 01:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@ShaDe45

scanne bitte mit escan und poste mir hier , was infected und target ist:
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2006, 18:06
monsterbabe
zu Gast
#3 Hallo !!!
Ich habe da auch so ein kleines Problem mit diesem sch... Pony.
Kann mir jemand helfen?

Ich habe auch ein Logfile von hijacker.

Über jede Hilfe wäre ich sehr dankbar.

Logfile of HijackThis v1.99.1
Scan saved at 18:02:50, on 14.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AlienGUIse\wbload.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Save\Save.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWare.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Janine Matzke\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {F5117A78-7EF1-C869-45F1-69D35675BE2A} - C:\DOKUME~1\JANINE~1\ANWEND~1\MP3TWO~1\Log remote.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Winactiveacecopy] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\01drvwinactive\mpeg heart.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Logon Loader Random] "C:\Programme\Logon Loader\LogonLoader.exe" /random
O4 - HKLM\..\Run: [Logon Loader] "C:\Programme\Logon Loader\LogonLoader.exe" /tray
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SEEK BYTE] C:\DOKUME~1\JANINE~1\ANWEND~1\BAGSTH~1\Info Warn Corn.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCfox000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF727AB1-3143-42D8-89BC-059D8FE686AD}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Seitenanfang Seitenende
14.04.2006, 18:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 monsterbabe

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {F5117A78-7EF1-C869-45F1-69D35675BE2A} - C:\DOKUME~1\JANINE~1\ANWEND~1\MP3TWO~1\Log remote.exe
O4 - HKLM\..\Run: [Winactiveacecopy] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\01drvwinactive\mpeg heart.exe
O4 - HKCU\..\Run: [SEEK BYTE] C:\DOKUME~1\JANINE~1\ANWEND~1\BAGSTH~1\Info Warn Corn.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCfox000

PC neustarten

1.
deinstalliere:
C:\Programme\MessengerPlus! 3

2.
arbeite das ab:
http://virus-protect.org/artikel/spyware/lop1.html

in deinem Fall zu loeschen ist:

C:\Programme\Save
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\01drvwinactive
C:\Dokumente und Einstellungen\JANINE~1\Anwendungsdaten\MP3TWO...
C:\Dokumente und Einstellungen\JANINE~1\Anwendungsdaten\BAGSTH...

wende Cleanup, Counterspy, dr.web und Panda-Online an ... loesche alles, was gefunden wird.

alles abgearbeitet:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt
- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2006, 21:53
monsterbabe
zu Gast
#5 Danke für deine Hilfe es funktioniert nur leider nicht obwohl ich alles gemacht haben.
Ich frag einfach mal meinen Kumpel der hat Computertechnik gelernt und ist Systemadministrator. Mal schauen vielleicht weiß er ja weiter. Trotzdem danke dir.
Seitenanfang Seitenende
14.04.2006, 22:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 monsterbabe

scheib mir, wo du haengengeblieben bist... und es fehlt auch noch die

dir %Windir%\tasks /a h > files.txt
notepad files.txt

ansonsten bitte deinen Kumpel, dass er die Reinigung zu Ende fuehrt.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 21:26
monsterbabe
zu Gast
#7 na ich habe alles gemacht. bin nirgens hängen geblieben. nur funktioniert es nicht. mein kumpel hat irgendwas anderes im abgesichtern modus gemacht und er war weg. aber jetzt isser wieder da und mein mann hat ihn jetzt auch plötlich drauf. wir sind über nen router verbunden. der router hat aber ne recht gute eigene firewall drin. aber firewall bringt bei viren glaub ich nichts.
Seitenanfang Seitenende
16.04.2006, 15:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 monsterbabe

dann poste hier die Logs vom HijackThis...von beiden PCs.

gut waere auch, beide PCs mit dem Panda-Online zu scannen und hier den Scanreport zu posten.
http://virus-protect.org/onlinescan.html

so fische ich nicht im Trueben und kenne den Pfad der Malware ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 20:12
monsterbabe
zu Gast
#9 sorry war ein paar tage weg ich werds nachher mal machen
Seitenanfang Seitenende
19.04.2006, 20:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10

Zitat

monsterbabe postete
sorry war ein paar tage weg ich werds nachher mal machen
bis jetzt haben es (fast) alle geschafft ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.04.2006, 16:00
monsterbabe
zu Gast
#11 ich habe es mal mit em panda-omline scan versucht aber der scann startet nicht
Seitenanfang Seitenende
21.04.2006, 16:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 monsterbabe

Dr.Web
http://virus-protect.org/cureit.html

Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren

%userprofil%\doctorweb\cureit.log

eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.04.2006, 04:41
monsterbabe
zu Gast
#13 ich habe den link angeklickt deroben steht aber er loadet nicht :-(
Seitenanfang Seitenende
22.04.2006, 15:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14

Zitat

monsterbabe postete
ich habe den link angeklickt deroben steht aber er loadet nicht :-(
der Link laedt...du musst warten ...eventuell einige Minuten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2006, 17:23
monsterbabe
zu Gast
#15 mein kumpel hat sich bei mir an pc gesetzt und irgendwas gemacht. auf jedenfall sind jetzt alle trojaner weg.

falls ich nochmal probleme habe meld ich mich nochmal ok
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: