Wie kann ich Trojaner TR / Swizzor A beseitigen

#151 Jay_c

die Cookies sind nicht wichtig... es ist wieder alles o.k.
__________
MfG Sabina

rund um die PC-Sicherheit

#152 oh suuuuper *freu*
Vielen vielen Dank für deine Hilfe!!!

#153 Möglicherweise könnte mir ja auch jemand helfen:

Logfile of HijackThis v1.99.1
Scan saved at 19:51:30, on 24.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
g:\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
G:\Zboard Software\Driver\ZboardTray.exe
G:\Hercules 3DTweaker 3.0\H3dTweaker.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
G:\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
g:\Zboard Software\Driver\Zboard.exe
G:\Logitech\SetPoint\SetPoint.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
G:\Hercules 3DTweaker 3.0\D3D3DTwkAnim.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Internet Explorer\iexplore.exe
G:\ICQLite\ICQLite.exe
G:\Firefox\firefox.exe
G:\Ad-Aware SE Professional\Ad-Aware.exe
G:\JetAudio\JetAudio.exe
C:\WINDOWS\system32\taskmgr.exe
I:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {88F647C5-8D48-EB3F-2A2F-C908E2F700C8} - C:\DOKUME~1\Dennis\ANWEND~1\STYLEP~1\site defy.exe
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Hercules 3DTweaker 3.0] g:\Hercules 3DTweaker 3.0\H3dTweaker.exe -hide
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "G:\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = G:\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = G:\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Download with NetPumper - g:\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - g:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - g:\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O20 - Winlogon Notify: Zboard - C:\WINDOWS\SYSTEM32\Winlognotif.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - g:\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - G:\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - g:\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - G:\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

#154 p0mbaer

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: (no name) - {88F647C5-8D48-EB3F-2A2F-C908E2F700C8} - C:\DOKUME~1\Dennis\ANWEND~1\STYLEP~1\site defy.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O8 - Extra context menu item: Download with NetPumper - g:\NetPumper\AddUrl.htm
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\PartyGaming\PartyPoker\RunApp.exe

PC neustarten

1.
Netpumper deinstallieren

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#155 Vielen Dank.

1. Log:

Code

Verzeichnis von C:\WINDOWS\system32

25.04.2006  18:19           398.180 perfh009.dat
25.04.2006  18:19            60.448 perfc009.dat
25.04.2006  18:19           408.830 perfh007.dat
25.04.2006  18:19            71.264 perfc007.dat
25.04.2006  18:19           950.298 PerfStringBackup.INI
25.04.2006  18:15            13.910 lckfldservicelog.txt
25.04.2006  18:15           253.752 OODBS.lor
25.04.2006  16:31               384 DVCState-{00000000-00000000-0000000D-00001102-00000004-20021102}.dat
25.04.2006  16:31               384 DVCStateBkp-{00000000-00000000-0000000D-00001102-00000004-20021102}.dat
25.04.2006  16:31             1.080 settings.sfm
25.04.2006  16:31             1.080 settingsbkup.sfm
25.04.2006  16:31            31.728 BMXBkpCtrlState-{00000000-00000000-0000000D-00001102-00000004-20021102}.rfx
25.04.2006  16:31            32.592 BMXStateBkp-{00000000-00000000-0000000D-00001102-00000004-20021102}.rfx
25.04.2006  16:31            31.728 BMXCtrlState-{00000000-00000000-0000000D-00001102-00000004-20021102}.rfx
25.04.2006  16:31            32.592 BMXState-{00000000-00000000-0000000D-00001102-00000004-20021102}.rfx
24.04.2006  20:41             1.100 d3d8caps.dat
24.04.2006  16:42                32 mslck.dat
24.04.2006  13:20             2.206 wpa.dbl
23.04.2006  12:46           140.440 FNTCACHE.DAT
20.04.2006  16:39            43.668 xvid-uninstall.exe
17.04.2006  17:08            98.304 CmdLineExt.dll
19.03.2006  15:51                10 Mlkf.dll
19.03.2006  02:27             5.244 FldLckINSTALL.LOG
27.02.2006  15:48           856.064 xvidcore.dll
27.02.2006  15:30           217.088 xvidvfw.dll
26.02.2006  06:23            81.920 xvid.ax
11.02.2006  00:27                19 mvcerc051010.dll
11.02.2006  00:12           176.167 rmoc3260.dll
11.02.2006  00:12             5.632 pndx5032.dll
11.02.2006  00:12             6.656 pndx5016.dll
11.02.2006  00:12           278.528 pncrt.dll
11.02.2006  00:01             3.082 affv9869p2now.sys
26.01.2006  20:36           716.800 divxdec.ax
26.01.2006  20:36           574.976 DivX.dll
26.01.2006  20:35           679.936 divx_xx07.dll
26.01.2006  20:35           679.936 divx_xx0c.dll
26.01.2006  20:35           663.552 divx_xx11.dll
24.01.2006  20:08            12.288 DivXWMPExtType.dll

2.Log:

Code

Verzeichnis von C:\DOKUME~1\Dennis\LOKALE~1\Temp

25.04.2006  20:39               693 TWAIN.LOG
25.04.2006  20:39               156 Twunk001.MTX
25.04.2006  20:39                 3 Twain001.Mtx
25.04.2006  18:15            16.384 Perflib_Perfdata_7c0.dat
25.04.2006  16:31            42.922 c9e8_appcompat.txt
25.04.2006  15:57            16.384 ~DFB84E.tmp
25.04.2006  15:57            16.384 ~DFB82E.tmp
25.04.2006  15:57            16.384 ~DFB83E.tmp
25.04.2006  15:57            16.384 ~DFB81E.tmp
25.04.2006  15:57            16.384 ~DFA7E8.tmp
25.04.2006  15:57            16.384 ~DFA0A5.tmp
25.04.2006  13:00            62.574 145805.exe
24.04.2006  19:38             1.664 java_install_reg.log
24.04.2006  19:00                 0 $b17a2e8.tmp
24.04.2006  16:16            42.922 d51e_appcompat.txt
24.04.2006  14:29            42.922 ab8_appcompat.txt
24.04.2006  14:25                 0 0bhA.tmp
24.04.2006  14:25                 0 kru8.tmp
23.04.2006  23:23            42.922 729c_appcompat.txt
23.04.2006  23:10             4.711 HolioSim.htm
23.04.2006  23:08             4.711 HolioSim_BCV.htm
23.04.2006  23:08             4.711 HolioSim_WCV.htm
23.04.2006  23:08             4.711 HolioSim_BCA.htm
23.04.2006  23:08             4.711 HolioSim_WCA.htm
23.04.2006  20:29             4.592 SIntfIcn.ani
23.04.2006  20:28            24.516 SIntfNT.dll
23.04.2006  20:28            19.924 SIntf32.dll
23.04.2006  20:28            12.067 SIntf16.dll
23.04.2006  20:28            36.864 CmdLineExt02.dll
23.04.2006  14:45                 0 rq089.tmp
23.04.2006  14:40                 0 r4086.tmp
23.04.2006  14:37                 0 tf185.tmp
23.04.2006  14:32                 0 icy84.tmp
23.04.2006  14:13                 0 CacheInfo.dnl
23.04.2006  14:02             3.352 19cb_appcompat.txt
22.04.2006  17:33            16.384 Perflib_Perfdata_750.dat
22.04.2006  16:37            16.384 ~DFFEF7.tmp
22.04.2006  16:07                 0 l0w109.tmp
22.04.2006  16:06                 0 cym102.tmp
22.04.2006  15:33                 0 99e100.tmp
22.04.2006  15:11             1.772 3e90_appcompat.txt
22.04.2006  14:43                 0 Twunk002.MTX
22.04.2006  14:40             1.485 redist.log
22.04.2006  14:40            11.224 CFG26.tmp
22.04.2006  14:40            11.224 CFG1E.tmp
22.04.2006  14:38            16.384 Perflib_Perfdata_100.dat
22.04.2006  14:36            10.976 netfxsl.log
22.04.2006  14:34                 0 59p174.tmp
22.04.2006  14:13             3.608 netfxupdate.log
22.04.2006  14:13             7.734 ASPNETSetup.log
22.04.2006  14:08             2.328 dotNetFx.log
22.04.2006  13:56                 0 r0y2F.tmp
22.04.2006  13:25            46.080 ~e5d141.tmp
22.04.2006  12:34                 0 20710.tmp
22.04.2006  12:33                 0 9qvF.tmp
22.04.2006  12:33                 0 n0sE.tmp
22.04.2006  12:32                 0 qt4D.tmp
22.04.2006  01:47            42.922 654_appcompat.txt
22.04.2006  01:09                 0 2dp98.tmp
22.04.2006  01:00            62.574 1279ed6.exe
22.04.2006  00:17           123.322 adb7E.tmp
22.04.2006  00:17            32.680 adb76.tmp
22.04.2006  00:06           123.322 adb70.tmp
22.04.2006  00:06            32.680 adb68.tmp
22.04.2006  00:05               218 MSIb2c20.LOG
22.04.2006  00:00            62.574 11c8f89.exe
21.04.2006  23:00            62.574 d5bfcc.exe
21.04.2006  01:00            62.574 2bf4bc2.exe
21.04.2006  00:00            62.574 2747c74.exe
20.04.2006  23:00            62.574 22d6e0f.exe
20.04.2006  20:26             2.303 agk.tbl
20.04.2006  20:00            62.574 189a5d8.exe
20.04.2006  19:00            62.574 146dc5c.exe
20.04.2006  17:00            62.574 f4f690.exe
20.04.2006  16:00            62.574 adeb90.exe
19.04.2006  06:20                99 888AFB86.TMP
23.01.2006  15:36               429 datFind.bat
23.01.2006  14:39            72.884 _iu14D2N.tmp
28.04.2005  13:42            59.083 NuNInst.cfg
07.04.2005  17:02         2.916.352 NuNInst.exe
01.09.2003  09:21           107.512 set10.tmp
22.05.2003  06:49           307.200 war3_install.exe
03.12.2002  01:33           107.512 setD.tmp
              83 Datei(en)      5.176.177 Bytes
               0 Verzeichnis(se), 10.151.206.912 Bytes frei

3.Log:

Code

Verzeichnis von C:\WINDOWS

25.04.2006  20:42           412.633 WindowsUpdate.log
25.04.2006  20:39               159 wiadebug.log
25.04.2006  20:39                50 wiaservc.log
25.04.2006  18:15                 0 0.log
25.04.2006  18:15             2.048 bootstat.dat
25.04.2006  16:31            32.612 SchedLgU.Txt
25.04.2006  15:19           932.564 setupapi.log
24.04.2006  21:55               227 system.ini
24.04.2006  21:55               615 win.ini
24.04.2006  16:43               202 NeroDigital.ini
22.04.2006  14:40             3.722 dahotfix.log
22.04.2006  14:40            19.821 dasetup.log
22.04.2006  14:37             2.894 COM+.log
22.04.2006  01:44            69.801 wmsetup.log
22.04.2006  01:44            95.944 DirectX.log
19.04.2006  23:33         4.925.937 {00000000-00000000-0000000D-00001102-00000004-20021102}.BAK
19.04.2006  23:33         4.925.937 {00000000-00000000-0000000D-00001102-00000004-20021102}.CDF
19.04.2006  01:24               266 game.ini
18.04.2006  21:03             1.479 eReg.dat
14.04.2006  04:46               632 CoD.INI
13.04.2006  22:31               210 SIERRA.INI
13.04.2006  22:27            27.798 comsetup.log
13.04.2006  22:27           140.751 iis6.log
13.04.2006  22:27             4.121 imsins.log
13.04.2006  22:27            17.055 ntdtcsetup.log
13.04.2006  22:27            30.986 tsoc.log
13.04.2006  22:27             3.429 ocmsn.log
13.04.2006  22:27             3.026 tabletoc.log
13.04.2006  22:27             5.249 medctroc.Log
13.04.2006  22:27             3.156 msgsocm.log
13.04.2006  22:27            47.595 ocgen.log
13.04.2006  22:27            44.876 FaxSetup.log
13.04.2006  22:27             8.985 netfxocm.log
13.04.2006  22:27            32.254 msmqinst.log
13.04.2006  20:14           189.353 setupact.log
12.04.2006  20:01            91.773 War3Unin.dat
01.04.2006  12:03             4.096 d3dx.dat
30.03.2006  19:02               121 GEARInstall.log
21.03.2006  17:22                 0 WinPM.INI
15.02.2006  22:42                25 MoominCodec.ini
15.02.2006  22:39                 0 MoominTaskList.ini
11.02.2006  00:15                25 cdplayer.ini

4.Log:

Code

Verzeichnis von C:\

25.04.2006  21:07                 0 sys.txt
25.04.2006  21:07             7.593 system.txt
25.04.2006  21:07             4.389 systemtemp.txt
25.04.2006  21:07           105.717 system32.txt
25.04.2006  18:15       805.306.368 pagefile.sys
24.04.2006  21:55               211 boot.ini
23.04.2006  16:38                 0 uniq
31.03.2006  19:05               277 debugInstaller.txt
23.01.2006  15:36               429 datFind.bat
04.12.2005  22:35            13.030 PDOXUSRS.NET
22.07.2005  20:55             3.845 TDSLCheck.txt
06.06.2005  18:57            47.564 NTDETECT.COM
06.06.2005  18:57           251.184 ntldr
06.06.2005  18:45                 0 IO.SYS
06.06.2005  18:45                 0 CONFIG.SYS
06.06.2005  18:45                 0 AUTOEXEC.BAT
06.06.2005  18:45                 0 MSDOS.SYS
28.11.2002  14:00             4.952 bootfont.bin
              18 Datei(en)    805.745.559 Bytes
               0 Verzeichnis(se), 10.151.206.912

In der Zwischenzeit habe ich übrigens "O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe" mit Hijackthis im abgesicherten Modus beseitigt.


5.Log:

Code

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

25.04.2006  20:24    <DIR>          .
25.04.2006  20:24    <DIR>          ..
12.06.2005  18:46    <DIR>          1031
12.06.2005  18:45    <DIR>          1033
14.02.2001  21:45         1.318.912 MSONSEXT.DLL
13.02.2001  00:23            58.784 MSOSV.DLL
19.03.1999  22:46           127.032 MSOWS407.DLL
04.06.1999  15:09           122.937 MSOWS409.DLL
06.08.2000  09:04           401.462 MSVCP60.DLL
22.01.2001  03:25            69.632 PKMAXCTL.DLL
22.01.2001  03:25           872.448 PKMCDO.DLL
22.01.2001  03:25           159.744 PKMCORE.DLL
07.02.2001  09:59           106.496 PKMFORMS.DLL
12.02.2001  04:01           692.224 PKMRES.DLL
22.01.2001  03:25            28.672 PKMSSTLB.DLL
22.01.2001  03:25            40.960 PKMTEMPL.DLL
22.01.2001  03:25            24.576 PKMTRACE.DLL
22.01.2001  03:25            86.016 PKMWS.DLL
22.01.2001  03:25           237.568 PROMDEMO.DLL
22.01.2001  03:25           184.320 SECMGR.DLL
22.01.2001  03:25           323.584 VAIDDMGR.DLL
22.01.2001  03:25            32.768 VAIMEM.DLL
              18 Datei(en)      4.888.135 Bytes
               4 Verzeichnis(se), 10.151.206.912

mfg: p0mbaer

#156 p0mbaer

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Verzeichnis von C:\DOKUME~1\Dennis\LOKALE~1\Temp ...muss leer sein !

............................................

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\uniq
C:\winstall.exe
C:\WINDOWS\system32\mslck.dat

klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

--------------------------

3.
poste das log vom Avenger

4.
Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu

5.
Dr.Web
http://virus-protect.org/cureit.html

Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren

%userprofil%\doctorweb\cureit.log

eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

dann sehen wir weiter........................
__________
MfG Sabina

rund um die PC-Sicherheit

#157 Avenger-Log:

Code

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jlxtgldk

*******************

Script file located at: \??\C:\WINDOWS\system32\anuxmcwd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe not found!
Deletion of file C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
Status: 0xc0000034

File C:\uniq deleted successfully.


File C:\winstall.exe not found!
Deletion of file C:\winstall.exe failed!

Could not process line:
C:\winstall.exe
Status: 0xc0000034

File C:\WINDOWS\system32\mslck.dat deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Dr.Web-Log:

Code

Prüfstatistiken

Geprüfte Objekte: 291
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 2295 Kb/s
Dauer:: 00:00:25

Einstellungen\Temp\152adf1.exe>
C:\Dokumente und Einstellungen\Marvin\Lokale Einstellungen\Temp\7610fb.exe>

C:\Dokumente und Einstellungen\Marvin\Lokale 
Einstellungen\Temp\b9e1f3.exe>

C:\Dokumente und Einstellungen\Marvin\Lokale 
Einstellungen\Temp\c0ce06.exe
r

#158 p0mbaer

scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#159 Scanreport:
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@2o7[1].txt
Spyware:Cookie/Atwola
Not disinfected
C:\Dokumente und Einstellungen\Marvin\Cookies\marvin@atwola[1].txt

edit Sabina

PS: Ich habe nur C: gescannt, da ich denke, das auf den anderen Partitionen nichts zu finden wäre.

#160 nur Cookies, also kein Grund zur Sorge... ich denke, du kannst nun wieder beruhigt surfen
__________
MfG Sabina

rund um die PC-Sicherheit

#161 Vielen herzlichen Dank für die Hilfe.

#162 Hey auch ich habe ein problem mit TR/Swizzor.A!hatte ebenfalls den messi plus mit sponsor!das hat man davon wenn man auf andere leute hört
jedenfalls wäre ich super froh wenn mir jemand helfen könnte da ich von pcs nur etwas ahnung habe im übrigen hab ich auch antivir ...weiß nicht ob das jemand wissen muss



Logfile of HijackThis v1.99.1
Scan saved at 15:27:19, on 02.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Alica\Desktop\HijackThis.exe

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {9BF9000D-0CED-2B55-8961-81B65AE2C50A} - C:\DOKUME~1\Alica\ANWEND~1\ITCHTO~1\Send hole.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Longace] C:\DOKUME~1\Alica\ANWEND~1\16BROW~1\Dupe proc inter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1568ea2fc8fe58210218/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118672735953
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B49CB23-7CB2-42C9-953B-5337F8490EE2}: NameServer = 217.237.151.33,217.237.149.225,217.5.99.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B49CB23-7CB2-42C9-953B-5337F8490EE2}: NameServer = 217.237.151.33,217.237.149.225,217.5.99.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B49CB23-7CB2-42C9-953B-5337F8490EE2}: NameServer = 217.237.151.33,217.237.149.225,217.5.99.9
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxcccoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe


vorweg schon mal danke und ein großes lob an alle die hier helfen und sich so super auskennen!

#163 Alica

0.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SweetIMBarForIE

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.


-----------------------------------------------------------------------------

1.
LSPfix
http://www.spychecker.com/program/lspfix.html
- hake an: "I know what Im doing"--Remove
- und loesche die newdotnet7_22.dll (eventuell musst du die dll von links nach rechts bringen)

2.
CleanUp
http://virus-protect.org/cleanup.html

3.
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: (no name) - {9BF9000D-0CED-2B55-8961-81B65AE2C50A} - C:\DOKUME~1\Alica\ANWEND~1\ITCHTO~1\Send hole.exe
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [Longace] C:\DOKUME~1\Alica\ANWEND~1\16BROW~1\Dupe proc inter.exe

PC neustarten

4.
arbeite das ab:
http://virus-protect.org/artikel/spyware/lop1.html

deinstallieren:
C:\Programme\Macrogaming\SweetIMBarForIE
C:\Programme\NewDotNet

loeschen:
C:\Dokumente und Einstellungen\Alica\Anwendungsdaten\ITCHTO..... (ist nicht die vollstaendige Bezeichnung)
C:\Dokumente und Einstellungen\Alica\Anwendungsdaten\16BROW.....

5.
Counterspy (nach dem scan alles auf *remove stellen
**
scanne mit dr.web
**
Onlinescan-Panda (alles manuell loeschen)
**
noch mal cleanup anwenden
**

-------

wenn alles sauber ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

#164 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 04.05.2006 15:22:50 for strings:
; 'sweetimbarforie'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}\InprocServer32]
@="C:\\Programme\\Macrogaming\\SweetIMBarForIE\\toolbar.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}\InprocServer32]
@="C:\\Programme\\Macrogaming\\SweetIMBarForIE\\toolbar.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{58906392-79C4-497C-ACC6-6942B59F1A08}\1.0\0\win32]
@="C:\\Programme\\Macrogaming\\SweetIMBarForIE\\toolbar.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{58906392-79C4-497C-ACC6-6942B59F1A08}\1.0\HELPDIR]
@="C:\\Programme\\Macrogaming\\SweetIMBarForIE\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\\Programme\\Macrogaming\\SweetIMBarForIE\\Cache\\"="1"
"C:\\Programme\\Macrogaming\\SweetIMBarForIE\\"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-21-1202660629-1958367476-725345543-1003\Components\96D82BE152767B245B7D948EF9126F46]
"68DFF68F6691C6C4999D446A7EBA793E"="C:\\Programme\\Macrogaming\\SweetIMBarForIE\\Cache\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-21-1202660629-1958367476-725345543-1003\Components\C34CFCB49C8F0814C88A64469E1A2B9E]
"68DFF68F6691C6C4999D446A7EBA793E"="C:\\Programme\\Macrogaming\\SweetIMBarForIE\\toolbar.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-21-1202660629-1958367476-725345543-1003\Components\DF75D238060B32E42A452FB5F328222E]
"68DFF68F6691C6C4999D446A7EBA793E"="C:\\Programme\\Macrogaming\\SweetIMBarForIE\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-21-1202660629-1958367476-725345543-1003\Products\68DFF68F6691C6C4999D446A7EBA793E\InstallProperties]
"InstallLocation"="C:\\Programme\\Macrogaming\\SweetIMBarForIE\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F86FFD86-1966-4C6C-99D9-44A6E7AB97E3}]
"InstallLocation"="C:\\Programme\\Macrogaming\\SweetIMBarForIE\\"

; End Of The Log...

#165 Alica

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{58906392-79C4-497C-ACC6-6942B59F1A08}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F86FFD86-1966-4C6C-99D9-44A6E7AB97E3}]

Die Datei "fixme.reg" auf dem Desktop doppelklicken --> und mit "ja"/"yes" der Registry beifügen

PC neustarten

Macrogaming\SweetIMBarForIE deinstallieren

-------------------------------------

dann arbeite alles weitere ab, wie oben beschrieben
__________
MfG Sabina

rund um die PC-Sicherheit