Home » Viren, Trojaner & Malware Forum » Brauche Unterstützung wg. Trojaner Swizzor_A » Themenansicht

Brauche Unterstützung wg. Trojaner Swizzor_A
#0
15.04.2006, 00:47
Alf_08
...neu hier

Beiträge: 3
#1 Hallo,

AntiVir meldet den Trojaner Swizzor_A auf meinem PC und kann ihn nicht entfernen.

Ich habe jetzt einfach einen neuen Beitrag eröffnet, hoffe das war ok.

Was muß ich tun? Danke schon mal im vorraus. ;)

Logfile of HijackThis v1.99.1
Scan saved at 00:36:33, on 15.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Medion Info Display\MdionLCM.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\Alfons\Eigene Dateien\Downloads\Swizzor\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {62089E98-6B3C-05CE-ECD1-330C01AB8164} - C:\DOKUME~1\Alfons\ANWEND~1\Bike01\TRANS DEFY.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [FourStartDashTrust] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InfoDeleteFourStart\comp grid.exe
O4 - HKCU\..\Run: [Sixth Idol] C:\DOKUME~1\Alfons\ANWEND~1\OPTION~1\Stop Aim.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Gruß Alfons

Edit: Hallo und ein kleiner Nachtrag,

den IE benutze ich nur für MicrsoftUpdates und ansonsten Opera.

Vermutlich habe ich meinen PC mit Netpumper infiziert, oder?
Kann ich den vorab schon deinstallieren oder soll ich erst mit HijackThis ein paar Malware löschen?
Wie kann ich selber herausfinden, welche Einträge gelöscht werden müssen?

Viel Grüße
Alfons
Dieser Beitrag wurde am 15.04.2006 um 10:56 Uhr von Alf_08 editiert.
Seitenanfang Seitenende
15.04.2006, 12:14
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Alf_08

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {62089E98-6B3C-05CE-ECD1-330C01AB8164} - C:\DOKUME~1\Alfons\ANWEND~1\Bike01\TRANS DEFY.exe
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [FourStartDashTrust] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InfoDeleteFourStart\comp grid.exe
O4 - HKCU\..\Run: [Sixth Idol] C:\DOKUME~1\Alfons\ANWEND~1\OPTION~1\Stop Aim.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm

PC neustarten

**
deinstalliere den Netpumper (ist Schuld an der Verseuchung)

**
arbeite das alles ab:
http://virus-protect.org/artikel/spyware/lop1.html

zu loeschen, in deinem Fall ist:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InfoDeleteFourStart
C:\Dokumente und Einstellungen\Alfons\Anwendungsdaten\OPTION....-> (ist nicht der komplette Name)
C:\Dokumente und Einstellungen\Alfons\Anwendungsdaten\Bike01

wende Cleanup an, den Counterspy-> nach dem Scann *Remove und Panda-Online-> alles manuell loeschen

wenn alles abgearbeitet ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt
- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text i
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 15:08
Alf_08
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo,

ich hoffe, ich habe alles richtig gemacht.
Nachdem ich dann auch noch den Papierkorb gelehrt hatte, konnte Panda nichts mehr finden. ;)

-----
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\WINDOWS\tasks

23.03.2006 10:09 <DIR> .
23.03.2006 10:09 <DIR> ..
15.04.2006 15:00 268 AF3C183B919F8E4B.job
04.08.2004 14:00 65 desktop.ini
15.04.2006 12:57 6 SA.DAT
3 Datei(en) 339 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Alfons\Desktop
-----

Bin ich clean?

Gruß Alfons
Seitenanfang Seitenende
15.04.2006, 15:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Alf_08

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AF3C183B919F8E4B.job
del AF3C183B919F8E4B.job
- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 16:16
surf
Member

Beiträge: 15
#5 hallo leute, auch bei mir hat sich dieses miststück eingenistet. ich weiß noch nicht einmal, wo ich suchen muß. kann mir jemand helfen? vielen dank im voraus.......

Logfile of HijackThis v1.99.1
Scan saved at 16:16:03, on 15.04.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\E_S00RP2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 2.0\resources\de-DE\local\search.html
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,911,0
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2429579c69f69d8cb918/netzip/RdxIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141508559625
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{36F51F7C-6923-4156-927C-87B9B4B582F8}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F8FA67A-B295-458C-91B7-FC2563BEC479}: NameServer = 194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{36F51F7C-6923-4156-927C-87B9B4B582F8}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {8BECEEB3-14EB-4103-84D5-86ECBE79D12A} - C:\WINDOWS\System32\moagmlb.dll
O18 - Filter: text/plain - {8BECEEB3-14EB-4103-84D5-86ECBE79D12A} - C:\WINDOWS\System32\moagmlb.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\d3dlg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - C:\Programme\Gemeinsame Dateien\AOL\AOL Privacy Protection\\aolserv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\System32\E_S00RP2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
Seitenanfang Seitenende
15.04.2006, 16:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 surf

1.
abarbeiten
Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Hier ist anscheinend ein Haxdoor auf dem PC..... vom Swizzor keine Spur....

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {8BECEEB3-14EB-4103-84D5-86ECBE79D12A} - C:\WINDOWS\System32\moagmlb.dll
O18 - Filter: text/plain - {8BECEEB3-14EB-4103-84D5-86ECBE79D12A} - C:\WINDOWS\System32\moagmlb.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\d3dlg.dll

PC neustarten

3.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

4.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

5.
Lade echo.zip --> entpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

6.
RootkitRevealer -> poste das Log
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 20:11
surf
Member

Beiträge: 15
#7 hallo sabina

ich weiß nicht, ob ich alles richtig gemacht habe.....hier ist zumindest das log vom rootkitrevealer ...... und antivir meldet nach wie vor den swizzor-a.


HKLM\SOFTWARE\Classes\webcal\URL Protocol 01.05.2004 17:03 13 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg 04.04.2006 21:59 0 bytes Access is denied.
C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\Mozilla\Firefox\Profiles\vkkjc3l4.Standard-Benutzer\Cache\13266B83d01 15.04.2006 19:48 56.67 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\Mozilla\Firefox\Profiles\vkkjc3l4.Standard-Benutzer\Cache\F2B9E485d01 15.04.2006 19:52 43.86 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\Rar$DI00.812 15.04.2006 19:30 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\Rar$DI00.812\Eula.txt 11.02.2006 09:22 1.92 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\Rar$EX01.703\Eula.txt 11.02.2006 09:22 1.92 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\Rar$EX01.703\RootkitRevealer.chm 07.12.2005 14:19 99.77 KB Visible in Windows API, but not in MFT or directory index.

gruß surf
Seitenanfang Seitenende
15.04.2006, 20:38
Alf_08
...neu hier

Themenstarter

Beiträge: 3
#8 Hallo Sabina!

Ich habe jetzt abschliessend nochmal Counterspy und Panda-Online suchen lassen.
Der Trojaner ist weg. ;)

Vielen Dank für deine Mühe, auch noch am Wochenende.

Viele Grüße
Alfons
Seitenanfang Seitenende
15.04.2006, 22:19
LadyPeanut
...neu hier

Beiträge: 2
#9 Hello, brauche Hilfe wegen Swizzor.A!!!!
Scan saved at 22:13:29, on 15.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\MXOALDR.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.062\HijackThis.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\debugtickcloseflaw\BROWSEBIN.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/start.shtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {25B2BDAF-26F1-1421-BA69-513123FF4629} - C:\DOKUME~1\ADMINI~1\ANWEND~1\ITCHSE~1\type more.exe
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ADefaultSearch Class - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Close Flaw Mail Up] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\debugtickcloseflaw\BROWSEBIN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Plus save] C:\DOKUME~1\ADMINI~1\ANWEND~1\IDOLSL~1\Inter User.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\PROGRAM FILES\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127939698359
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = tuwien.ac.at,at,com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = tuwien.ac.at,at,com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = tuwien.ac.at,at,com
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
Seitenanfang Seitenende
16.04.2006, 16:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 surf

warum arbeitest du nur die Haelfte ab ?
Zum Swizzor kommen wir spaeter...ist im Moment nicht so wichtig....

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Lade echo.zip --> entpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2006, 16:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 LadyPeanut

1.
LSPfix
http://www.spychecker.com/program/lspfix.html
- hake an: "I know what Im doing"--Remove
- und loesche die newdotnet7_22.dll (eventuell musst du die dll von links nach rechts bringen)

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2006, 18:43
surf
Member

Beiträge: 15
#12 hallo sabina,

sorry, war wohl ein missverständnis mit dem kopieren. hier nun die einträge......gruß surf

Verzeichnis von C:\WINDOWS\system32

16.04.2006 08:33 130.720 Status.MPF
15.04.2006 22:46 1.406 Help.ico
15.04.2006 22:46 30.590 pavas.ico
15.04.2006 22:45 2.550 Uninstall.ico
15.04.2006 19:22 768 system32.txt
14.04.2006 22:44 3.870 ikhcore.log
10.04.2006 16:16 2.184 wpa.dbl
05.04.2006 00:02 449.676 perfh009.dat
05.04.2006 00:02 65.924 perfc009.dat
05.04.2006 00:02 466.414 perfh007.dat
05.04.2006 00:02 79.520 perfc007.dat
05.04.2006 00:02 1.072.946 PerfStringBackup.INI
04.04.2006 22:30 121.336 FNTCACHE.DAT
04.04.2006 22:18 3.799 jupdate-1.5.0_04-b05.log
25.01.2006 05:34 118.784 sirenacm.dll
18.01.2006 14:05 57.344 avsda.dll
04.01.2006 20:46 2.836.320 MRT.exe

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9042-0B72

Verzeichnis von C:\DOKUME~1\Wolfgang\LOKALE~1\Temp

16.04.2006 18:41 240 datFind.zip
16.04.2006 18:00 62.574 2128e81.exe
16.04.2006 17:00 62.574 1cbbfb6.exe
16.04.2006 16:14 307 dakota.ag_20060416_inst.log
16.04.2006 16:00 62.574 180d24d.exe
16.04.2006 15:00 62.574 179c827.exe
16.04.2006 14:26 416 java_install_reg.log
16.04.2006 14:09 0 Acr422.tmp
16.04.2006 14:09 2.048.000 Acr420.tmp
16.04.2006 14:09 3.363 Acr41E.tmp
16.04.2006 14:09 3.631 Acr41F.tmp
16.04.2006 14:07 19.968 6mai2006.doc
16.04.2006 14:00 62.574 136f022.exe
16.04.2006 13:00 62.574 efe402.exe
16.04.2006 12:00 62.574 a4151d.exe
16.04.2006 11:00 62.574 9d0aa9.exe
16.04.2006 10:00 62.574 4a3af1.exe
16.04.2006 09:00 62.574 32b35.exe
16.04.2006 08:43 4 PMShared
16.04.2006 08:33 32.768 ~DF27D.tmp
16.04.2006 08:33 16.384 ~DF7D7.tmp
16.04.2006 08:33 49.152 ~DFE3F5.tmp
16.04.2006 08:33 410 jusched.log
15.04.2006 23:06 614 dakota.ag_20060415_inst.log
15.04.2006 23:00 62.574 11066e5.exe
15.04.2006 22:50 1.212.416 ~DFC1E6.tmp
15.04.2006 22:50 1.212.416 ~DF8EA7.tmp
15.04.2006 22:00 62.574 cea165.exe
15.04.2006 21:28 1.212.416 ~DF3AF5.tmp
15.04.2006 21:26 32.768 ~DF7D45.tmp
15.04.2006 21:26 16.384 ~DF5CE9.tmp
15.04.2006 21:00 62.574 878af3.exe
15.04.2006 20:00 62.574 7ca392.exe
15.04.2006 19:18 431 systemtemp.txt
15.04.2006 19:00 62.574 35ad13.exe
06.04.2005 17:39 121.064 Set443.tmp
06.04.2005 17:39 121.064 Set461.tmp
06.04.2005 17:39 121.064 Set45E.tmp

Verzeichnis von C:\WINDOWS

16.04.2006 18:00 32.556 SchedLgU.Txt
16.04.2006 08:41 725 win.ini
16.04.2006 08:32 0 0.log
16.04.2006 08:32 1.558.934 WindowsUpdate.log
16.04.2006 08:32 2.048 bootstat.dat
15.04.2006 23:07 2.930 cdplayer.ini
15.04.2006 22:45 164.845 setupapi.log
15.04.2006 19:20 2.957 system.txt
14.04.2006 23:46 28 Q810577Uninst.log
14.04.2006 21:33 4.359 ODBCINST.INI
14.04.2006 21:31 31 LxTrans.INI
14.04.2006 21:18 812.482 ntbtlog.txt
12.04.2006 19:46 14 cfh232.cfg
12.04.2006 19:34 16 furry.ini
08.04.2006 15:16 1.662 MKDEMSG.LOG
08.04.2006 15:15 1.024 MKDEWE.TRN
04.04.2006 22:38 81 loge.dat
04.04.2006 22:28 2.890 COM+.log
04.04.2006 22:22 7.457 KB829558.log
02.04.2006 22:06 10.308 ModemLog_Motorola USB Modem.txt
01.04.2006 11:21 10.300 svcpack.log
30.03.2006 17:50 211.222 iis6.log
30.03.2006 17:50 31.568 ntdtcsetup.log
30.03.2006 17:50 53.880 comsetup.log
30.03.2006 17:50 64.665 tsoc.log
30.03.2006 17:50 1.374 imsins.log
30.03.2006 17:50 6.642 msgsocm.log
30.03.2006 17:50 5.284 ocmsn.log
30.03.2006 17:50 64.996 ocgen.log
30.03.2006 17:50 126.156 FaxSetup.log
30.03.2006 17:50 51.238 msmqinst.log
30.03.2006 17:49 622 avmcoins.log
12.03.2006 21:17 30.113 xpsp1hfm.log
12.03.2006 21:17 1.374 imsins.BAK
12.03.2006 21:17 36.765 KB828741.log
12.03.2006 21:15 31.079 KB835732.log
12.03.2006 21:12 22.786 Q329834.log
12.03.2006 21:12 41.653 KB823559.log
12.03.2006 21:09 22.393 Q329048.log
12.03.2006 21:08 20.968 KB834707-IE6-20040929.115007.log
12.03.2006 21:07 33.386 Q810577.log
12.03.2006 21:06 1.189.252 setupapi.log.0.old
12.03.2006 21:06 30.218 Q810833.log
12.03.2006 21:05 27.409 Q811630.log
12.03.2006 21:04 26.057 Q329441.log
12.03.2006 21:04 25.762 Q817606.log
12.03.2006 21:03 22.834 Q329170.log
12.03.2006 21:02 3.521 Q329115.log
12.03.2006 21:01 2.939 Q329390.log
12.03.2006 21:01 2.295 Q323255.log
05.03.2006 00:57 216 wiadebug.log
04.03.2006 23:47 6.264 KB842773.log
04.03.2006 23:47 178.951 setupact.log
04.03.2006 18:00 50 wiaservc.log
28.02.2006 23:09 14.126 Windows Update.log
28.02.2006 22:37 587 KB833680.log
25.02.2006 22:14 4.753 mozver.dat
25.02.2006 21:15 87 GEARInstall.log
07.02.2006 22:47 381.146 wmsetup.log
26.12.2005 21:08 270 cncscore.ini

Verzeichnis von C:\

16.04.2006 18:43 0 sys.txt
16.04.2006 18:42 7.569 system.txt
16.04.2006 18:42 2.124 systemtemp.txt
16.04.2006 18:41 107.179 system32.txt
16.04.2006 08:32 267.964.416 hiberfil.sys
16.04.2006 08:32 402.653.184 pagefile.sys
15.04.2006 20:06 1.261 RootkitReveal.txt
15.04.2006 19:24 871 DirDPF.txt
15.04.2006 19:24 2 DirDPFCns.txt
28.02.2006 22:53 0 DBS.TXT

10)DPF????
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9042-0B72

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.08.2005 15:43 193 ampx.inf
30.06.2005 15:19 227 MsnMessengerSetupDownloader.inf
14.08.2005 00:26 113.664 MsnMessengerSetupDownloader.ocx
14.10.2005 12:02 372.736 MsnPUpld.dll
14.10.2005 13:49 587 MSNPupld.inf
31.05.2002 10:19 117.328 purde-de.dll
19.06.2002 15:11 117.088 PURen-us.dll
25.01.2004 14:43 1.087 qdiagcc.inf
27.08.2005 14:30 5.065 swflash.inf
26.05.2005 05:19 291 wuweb.inf
10 Datei(en) 728.266 Bytes

Anzahl der angezeigten Dateien:
10 Datei(en) 728.266 Bytes
0 Verzeichnis(se), 15.956.938.752 Bytes frei
10)DPF????
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9042-0B72

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.08.2005 15:43 193 ampx.inf
19.12.2005 13:35 135.168 asinst.dll
28.11.2005 16:40 525 asinst.inf
30.06.2005 15:19 227 MsnMessengerSetupDownloader.inf
14.08.2005 00:26 113.664 MsnMessengerSetupDownloader.ocx
14.10.2005 12:02 372.736 MsnPUpld.dll
14.10.2005 13:49 587 MSNPupld.inf
31.05.2002 10:19 117.328 purde-de.dll
19.06.2002 15:11 117.088 PURen-us.dll
25.01.2004 14:43 1.087 qdiagcc.inf
27.08.2005 14:30 5.065 swflash.inf
26.05.2005 05:19 291 wuweb.inf
12 Datei(en) 863.959 Bytes

Anzahl der angezeigten Dateien:
12 Datei(en) 863.959 Bytes
0 Verzeichnis(se), 16.096.157.696 Bytes frei
Seitenanfang Seitenende
16.04.2006, 19:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 surf

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html


C:\WINDOWS\System32\d3dlg.dll


poste hier die scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2006, 19:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Surf

nun beginne auch den Swizzor zu reinigen:

1.
Messenger Plus + Sponsorprogramm deinstallieren

2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..

C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.inf
C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx
C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll
C:\WINDOWS\Downloaded Program Files\MSNPupld.inf
C:\WINDOWS\System32\d3dlg.dll

PC neustarten

3.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

4.
Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine
wähle immer Remove und starte den PC neu

5.
scanne mit panda und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2006, 19:28
surf
Member

Beiträge: 15
#15 sabina, hier das ergebnis von sandbox.........der scan bei virustotal hat nicht funktioniert.


Norman Scanner Engine 5.90. 7
Sandbox 05.90, dated 8/03-2006

Your message ID (for later reference): 20060416-1449

The sandbox only run Windows 32-bit executable code.

We try to decompress most archives and use a list of passwords (norman,infected,virus etc). If you are certain you submitted something containing binary code (Windows executables) try to repack the file with one of the passwords given and resend it.
1643 mail.dat Mail
0 d3dlg.dll.vir UNKNOWN
186 qdbgtinxaphejzkidjpg44427b80ab5e3.zip ZIP

(C) 2004-2006 Norman ASA. All Rights Reserved.

The material presented is distributed by Norman ASA as an information source only.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 12