wie bekomm ich den trojaner swizzor weg?

#0
12.04.2006, 18:39
...neu hier

Beiträge: 5
#1 ich hab hier schon einiges zu dem swizzor gelesen nur kann ich damit nicht wirklich was anfangen.. ich hab auch nicht den msn plus... jedoch erscheinen bei mir nach jedem neustart komische icons casinoonline ringphone und ähliches was ich hier auch schon gelesen habe... wenn ich die rechtsklicke kommt da nur ein auswahlmenü delete...


hier der bericht:

Logfile of HijackThis v1.99.1
Scan saved at 18:27:01, on 12.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Visioneer OneTouch\OneTouchMon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\CPUCooL\CPUCooL.exe
C:\Program Files\mIRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\DOKUME~1\Miriam\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lduampuhkxihtojatdorvcuow.net/8E3r4C_zTcq8gCE4oY919XUgInlWE8YgN/NssBoACqzCIidbGb4ssGJkZoX5G7Vg.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gqjqaxurjgrfkfzmrw.com/8E3r4C_zTcroAj85_7gUKBhiY4D6EoBtpRbjDHVFvck.jsp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8C32EE31-7730-A8D6-FB90-77B0C9003C50} - C:\DOKUME~1\Miriam\ANWEND~1\BIBBRO~1\Bird blah.exe
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {D7F11B97-EAEE-AC8E-ADA9-6C560DD5A49C} - C:\DOKUME~1\Miriam\ANWEND~1\BIBBRO~1\Bird blah.exe
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DoesThunkMoreKind] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlaySignDoesThunk\ping web.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [OneTouch Monitor] C:\Programme\Visioneer OneTouch\OneTouchMon.exe
O4 - HKLM\..\Run: [Grid Win Flap Active] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dent32GridWin\FRAGUSER.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [2 store] C:\DOKUME~1\Miriam\ANWEND~1\LOUDDR~1\Plus exit.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133423854226
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133424537288
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF442A0D-F4AD-4A6D-8398-EB99E4D3519A}: NameServer = 212.68.78.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECEEBBF0-8252-43AD-9031-492AB635F21A}: NameServer = 212.68.78.5
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


wäre wirklich dankbar wenn mir jemand hilft den wegzubekommen....

greetz

schranzi

<<<<<<<<<<<<<<<<<<<


nach dem ich jetzt so ziehmlich alles an viren-,trojaner- und spywarescanner durchlaufen lassen hab und den x-male versucht habe zu löschen .. kommt nun im 5 min-takt eine virenwarung von antivir :/ die mich versucht aufmerksam auf swizzor zu machen...hat vllt nicht doch wer eine idee?

greetz

schranzi
Dieser Beitrag wurde am 12.04.2006 um 19:43 Uhr von Schranzi editiert.
Seitenanfang Seitenende
12.04.2006, 23:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Schranzi

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lduampuhkxihtojatdorvcuow.net/8E3r4C_zTcq8gCE4oY919XUgInlWE8YgN/NssBoACqzCIidbGb4ssGJkZoX5G7Vg.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gqjqaxurjgrfkfzmrw.com/8E3r4C_zTcroAj85_7gUKBhiY4D6EoBtpRbjDHVFvck.jsp

O2 - BHO: (no name) - {8C32EE31-7730-A8D6-FB90-77B0C9003C50} - C:\DOKUME~1\Miriam\ANWEND~1\BIBBRO~1\Bird blah.exe
O2 - BHO: (no name) - {D7F11B97-EAEE-AC8E-ADA9-6C560DD5A49C} - C:\DOKUME~1\Miriam\ANWEND~1\BIBBRO~1\Bird blah.exe

O4 - HKLM\..\Run: [DoesThunkMoreKind] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlaySignDoesThunk\ping web.exe
O4 - HKLM\..\Run: [Grid Win Flap Active] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dent32GridWin\FRAGUSER.exe
O4 - HKCU\..\Run: [2 store] C:\DOKUME~1\Miriam\ANWEND~1\LOUDDR~1\Plus exit.exe

PC neustarten


arbeite das bitte ab:
http://virus-protect.org/artikel/spyware/lop1.html

zu loeschen (in deinem Fall sind)

C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\LOUDDR....
C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\BIBBRO...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlaySignDoesThunk
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dent32GridWin

-------------------------------------------------------------------------

wenn du mit CleanUp,Counterspy und Panda (Online) alle Malware gefunden und geloescht hast....

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt
- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

+

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2006, 17:51
...neu hier

Themenstarter

Beiträge: 5
#3 danke für deine antwort :-)
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0056-E3CB

Verzeichnis von C:\WINDOWS\tasks

26.03.2006 18:35 <DIR> .
26.03.2006 18:35 <DIR> ..
13.04.2006 17:00 268 A9C3F01B90806B5F.job
02.04.2003 14:00 65 desktop.ini
13.04.2006 06:34 6 SA.DAT
3 Datei(en) 339 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Miriam\Desktop

also ich hatte gestern noch bevor du gepostet hast die datein gelöscht gehabt, die du hier aufgeführt hast.. war echt n kampf... unter hijack findet er die datein auch nicht mehr jedoch hab ich noch eine logfile als restbestand die sich immer wieder erneuert.. heut nacht kam wieder eine meldung von antivir : swizzor... dann gelöscht hab im halb schlaft vorhin hab ich antivir noch mal durchlaufen lassen, da wurde jedoch nix gefunden. auch an ort und stelle wo die vorher waren sind die auch nicht mehr also die hier:

C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\LOUDDR....
C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\BIBBRO...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlaySignDoesThunk
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dent32GridWin


hier auch mal ein auszug aus der logfile LVCOMSX.LOG, die im temp ordner ist und sich immerwieder erneuert:

4/12/2006 19:46:40:707 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4

4/12/2006 19:46:40:717 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4

4/12/2006 19:56:5:650 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4

4/12/2006 19:56:5:830 DevExplorer.cpp-line:2055:Refresh: Failed to Setup Drive letters... Ignoring...

4/12/2006 19:56:5:830 DevExplorer.cpp-line:1615:SetupDevicesForMonitor: Failed to open a Device... Ignoring...

4/12/2006 19:56:5:830 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4

4/12/2006 19:56:5:830 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4

4/12/2006 19:56:5:850 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4

4/12/2006 19:56:5:860 CDebugLogMsg::SetLoggingLevel - Changing Log Level From 5 to 4

4/13/2006 0:11:32:696 DevExplorer.cpp-line:2055:Refresh: Failed to Setup Drive letters... Ignoring...

4/13/2006 0:11:32:756 DevExplorer.cpp-line:1615:SetupDevicesForMonitor: Failed to open a Device... Ignoring...

4/13/2006 0:11:32:766 DevExplorer.cpp-line:2055:Refresh: Failed to Setup Drive letters... Ignoring...

4/13/2006 0:11:32:766 DevExplorer.cpp-line:1615:SetupDevicesForMonitor: Failed to open a Device... Ignoring...

4/13/2006 0:57:34:614 DevExplorer.cpp-line:2055:Refresh: Failed to Setup Drive letters... Ignoring...

4/13/2006 0:57:34:624 DevExplorer.cpp-line:1615:SetupDevicesForMonitor: Failed to open a Device... Ignoring...

4/13/2006 0:57:34:714 DevExplorer.cpp-line:2055:Refresh: Failed to Setup Drive letters... Ignoring...

die exe starte sich auch immer wieder neu...
Seitenanfang Seitenende
13.04.2006, 18:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Schranzi

1.
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h A9C3F01B90806B5F.job
del A9C3F01B90806B5F.job
- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

2.
http://virus-protect.org/cleanup.html
stelle den Cleaner genauso ein, wie hier angegeben
dann PC neustarten

3.
scanne mit Panda und poste den scanreport
http://virus-protect.org/cleanup.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2006, 20:32
...neu hier

Themenstarter

Beiträge: 5
#5 also ich würd ja gern mit panda scannen.. jedoch jede version die ich mir lade .. hat irgendwelche viren oder werden als solche erkannt und ich muss sie löschen .. und ohne dise gelöschten datein lässt sich panda nicht starten ;)
Seitenanfang Seitenende
13.04.2006, 21:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 beachte die Virenwarnungen nicht, wenn du den Panda-Onlinescan beginnst.
(Antivirus und andere Scanner sehen in dem ActiveX eine Bedrohung...ist aber keine) ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2006, 07:20
...neu hier

Themenstarter

Beiträge: 5
#7 moin moin

hier nun der bericht vom onlinetest :-)

Ereignis Zustand Standort

Adware:adware/savenow Nicht desinfiziert Windows-Registry
Spyware:Cookie/2o7 Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@2o7[2].txt
Spyware:Cookie/Atlas DMT Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@atdmt[1].txt
Spyware:Cookie/Atwola Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@atwola[1].txt
Spyware:Cookie/Weborama Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@weborama[2].txt
Spyware:Cookie/Statcounter Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[.statcounter.com/]
Spyware:Cookie/Com.com Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[.com.com/]
Spyware:Cookie/Mediaplex Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[statse.webtrendslive.com/dcszp7e1v10000omp5r9bmtnv_1o4g]
Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[statse.webtrendslive.com/]
Spyware:Cookie/Statcounter Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[]
Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[dcszp7e1v10000omp5r9bmtnv_1o4g]
Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Anwendungsdaten\Mozilla\Firefox\Profiles\lccr6xrf.default\cookies.txt[]
Spyware:Cookie/2o7 Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@2o7[2].txt
Spyware:Cookie/Atlas DMT Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@atdmt[1].txt
Spyware:Cookie/Atwola Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@atwola[1].txt
Spyware:Cookie/Weborama Nicht desinfiziert C:\Dokumente und Einstellungen\Miriam\Cookies\miriam@weborama[2].txt


greetz

Schranzi
Seitenanfang Seitenende
14.04.2006, 12:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 wende die savenow.reg an
http://virus-protect.org/artikel/spyware/save.html

die Cookies, die der Panda gefunden hat, sind kein Problem.
Es sollte dann wieder alles o.k. sein.
Uebrigens, mich interessiert, wie der Trojaner auf deinen Rechner gekommen ist...was hast du geladen ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2006, 20:59
...neu hier

Themenstarter

Beiträge: 5
#9 *freu*Hüpf* THX ;)

*macht den carlton-dance*

hmm.. mir ist nicht bewusst was ich da geladen habe könnte....mein rechner is dauer an.. und macht jeden tag ein update mit antivir und scannt jeden mittag das mein sys durch... als ich abends nach hause kam stand schon die virenwarnung von antivir...das ich diese icons von onlinecasine und flirt und co nach jedem neustart auf dem desktop drauf habe, ist schon seit 4 monaten ein prob gewesen .. maybe hat antivir den swizzor erst durch das update erkannt....

greetz

schranzi
Seitenanfang Seitenende
05.05.2006, 23:46
...neu hier

Beiträge: 2
#10 ich hab genau das gleiche problem wie schranzi.hab nur leider so gut wie gar keine ahnung von computern.nachdem ich jetzt rausgefunden habe was hijackthis und ein logfile sind hier meins:

Logfile of HijackThis v1.99.1
Scan saved at 23:41:52, on 05.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\eMule\emule.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.302\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {BA0B8E25-1651-831D-8B7F-9125AEF4D69E} - C:\DOKUME~1\ADMINI~1\ANWEND~1\ABOUTM~1\REGSSURF.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [JunkPileHopeCamp] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tons Drv Junk Pile\Info 4.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [trayflap] C:\DOKUME~1\ADMINI~1\ANWEND~1\BEEPEX~1\Eggs Once.exe
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: SmartUI.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} (OCXDownloadChecker Control) - http://ul.dipmap.com/cab/OCXChecker_6100.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{70BC04A8-B4D2-4CD7-A473-9358DEB28810}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe




wär nett, wenn mir auch jemand sagen könnte,wie ich den weg bekomme (vielleicht ohne irgendwelche fachbegriffe :-) )

danke

franzi
Seitenanfang Seitenende
06.05.2006, 00:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 franziw

CleanUpanwenden
http://virus-protect.org/cleanup.html

öffne das HijackThis -- Button "scan" -- vor EintrAEg Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {BA0B8E25-1651-831D-8B7F-9125AEF4D69E} - C:\DOKUME~1\ADMINI~1\ANWEND~1\ABOUTM~1\REGSSURF.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [JunkPileHopeCamp] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tons Drv Junk Pile\Info 4.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [trayflap] C:\DOKUME~1\ADMINI~1\ANWEND~1\BEEPEX~1\Eggs Once.exe

arbeite das ab:
http://virus-protect.org/artikel/spyware/lop1.html

1.
MessengerPlus3 + Sponsor deinstallieren

2.
im abgesicherten Modus loeschen:

C:\Dokumente und Einstellungen\ADMINI~1\Anwendungsdaten\ABOUTM.......-> ist nicht die vollstaendige Bezeichnung
C:\Dokumente und Einstellungen\ADMINI~1\Anwendungsdaten\BEEPEX........
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tons Drv Junk Pile\

3.
Counterspy (nach dem scan alles auf *remove stellen

**
scanne mit dr.web
**
Onlinescan-Panda (alles manuell loeschen)
**
noch mal cleanup anwenden

-------

wenn alles sauber ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt
- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.05.2006, 09:21
...neu hier

Beiträge: 2
#12 so ich glaub ich hab jetzt alles hinbekommen. der text ausm editor is:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC23-EB60

Verzeichnis von C:\WINDOWS\tasks

04.05.2006 15:44 <DIR> .
04.05.2006 15:44 <DIR> ..
18.08.2001 14:00 65 desktop.ini
07.05.2006 09:00 278 EC1EE3AE9735DD2A.job
07.05.2006 00:04 6 SA.DAT
3 Datei(en) 349 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Desktop



sag mal kann ich denn das msn plus wieder raufspielen? hab ja böse sachen darüber gelesen...
riesen dankeschön schon mal!bin ich denn jetzt eigentlich fertig?
dankeschön!!
franzi
Seitenanfang Seitenende
07.05.2006, 10:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 franziw

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h EC1EE3AE9735DD2A.job
del EC1EE3AE9735DD2A.job
- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

wenn Panda und dr.web nichts mehr finden...sollte alles wieder o.k. seni ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.05.2006, 02:58
...neu hier

Beiträge: 1
#14 Hi @lle ;)

Habe genau das gleiche Problem gehabt.

Ich habe MSN Messenger Plus installiert und nach Neustart bemerkt das ich ein Handy-Icon auf dem Desktop hatte. Dann schlug plötzlich AntiVir Alarm. Alle paar Sekunden, dann nochöfter kamen Meldungen, das ein Trojaner versuche auf den Rechner zuzugreifen. Das Handy-Icon bot nur auf Rechts-Klick mit der Maus die Option "Delete". Ich weiß selbst nicht genau, wie sich dieser Mist installiert haben könnte. Ich hatte schon MSN Plus im Verdacht. Jedoch wenn der Trojaner bereits in der Setup-Application stecken würde, würde doch dann schon im "Nicht installierten Zustand der Virenscanner Verrückt spielen, oder?

Wenn man MSN Plus installiert, wird man gefragt ob man die angebotenen Sponsoren-Programme bzw Sponsor mitinstallieren wolle, das würde helfen, den MSN Plus weiter kostenfrei zu halten. Ich denke an dieser Stelle wird man auf eine verseuchte Site geleitet, danach hatte ich nämlich die Probleme bzw die Angriffe.

Vielleicht ist das ein Ansatz zu suchen, wo das herkommt. Ich habe MSN Plus nun nicht mehr installiert. MSN reicht mir so wie er ist. Hat jemand von Euch sowas auch beobachtet, vielleicht kommen nach meinem Post hier nun sog. vergessene Erinnerungen wieder ins Gedächtnis bei dem einen oder anderen?!

Habe noch eine Frage:

Wofür ist das MSN-Plus eigentlich genau? Weil mir wurd der nur empfohlen von jemandem der ihn auch schon länger nutzt. Auf meinem Desktop PC ist er auch installiert, jedoch jetzt bei der Installation des Notebook passierte es. Deutet darauf hin, das er neu ist, dieser Trojaner... Denn alle berichten von Installationszeitraum Mai... Mein MSNPlus auf dem PC wurde März oderso bereits installiert. Vermutlich deshalb?

Der MSN EXPLORER ist der seit kürze Abo-Pflichtig? Wollt den einrichten ebenfalls, da kommt, das man Abo abschließen müßte... War vor paar Monaten ebenfalls noch NICHT so...

Wie ich ihn wegbekommen habe?

Win neu gemacht, jedoch mit daueraktiver Firewall diesmal. Hatte ich wohl beim letzten Male versehentlich ausgeschaltet.

Grüße an @lle
Razorback2
Seitenanfang Seitenende
23.05.2006, 10:27
Member

Beiträge: 462
#15 Hi Razorback2,

zunächst: "MSN plus" ist keine Software von Microsoft! Vielmehr ist dies eine Erweiterung für Microsoft's Instant Messenger MSN, welche von einem ganz anderen Hersteller unters Volk gebracht wird. Diese Erweiterung soll den MSN Messenger mit verschiedenen mehr oder weniger sinnvollen Funktionen aufwerten.
Der Autor dieser Erweiterung bietet sie kostenlos an, allerdings verdient er wohl dadurch Geld, dass er im Bundle mit dieser Erweiterung Werbesoftware - sogenannte Adware - vertreibt. Die Installation der Adware kann bei der Installation von MSN plus erlaubt oder nicht gestattet werden.
Leider spricht der Autor scheinheilig ;) von "Sponsor-Programm", weshalb viele unbedarfte Benutzer nicht wissen, was sie sich da auf den Rechner holen. In der Meinung, dem so großzügigen Programmautor - der ja seine so tolle Software gratis zur Verfügung stellt - wenigstens etwas gutes zu tun, gestatten sie (wie offensichtlich auch du) die Mit-Installation der "Sponsoren-Programme" und wundern sich fortan, woher all der Müll auf ihrem Rechner kommt.

Dass MSN plus mit Adware ver-bundle-t ist, ist eigentlich schon seit langem bekannt. Da die Installation der Adware-Komponente aber während des Installationsvorgangs explizit abgelehnt werden kann, lässt sich dem Herrn daraus wohl kein Strick drehen.

Ich persönlich halte von solcherlei Gebahren allerdings garnichts, weil eben die meisten User nicht wissen was er da als "Sponsoren-Programme" dazugepackt hat.
Allerdings ist mir auch schon die Werbung die MSN ohne diese "plus"-Erweiterung mitbringt zuviel; weshalb ich persönlich nur alternative, Multi-IM-Clients wie Trillian 3.1 basic (-hier gibts gute Infos in deutsch dazu-), Gaim oder Miranda IM nutze und auch anderen dazu anrate.

Gruß
RollaCoasta

Nachtrag:

Zitat

(...) jedoch mit daueraktiver Firewall diesmal. Hatte ich wohl beim letzten Male versehentlich ausgeschaltet. (...)
Ob eine Firewall Schutz bietet vor vom Benutzer selbst installierter Müll-ware, lasse ich mal dahingestellt, dazu gibts hier in den entsprechenden Unterforen genug Posts dazu. ;)
__________
U can get it if u really want! (J.Cliff)
Dieser Beitrag wurde am 23.05.2006 um 10:32 Uhr von RollaCoasta editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: