Swizzor A. Trojaner

#0
15.04.2006, 23:15
...neu hier

Beiträge: 6
#1 Hi.

Habe auch den netten Trojaner bei mir auf dem PC, hier das HiJack-Log:
Logfile of HijackThis v1.99.1
Scan saved at 22:47:11, on 15.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Sonstiges\Motherboard Monitor 5\MBM5.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Sonstiges\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Sonstiges\XFire\Xfire.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\mIRC\mirc.exe
C:\Programme\Crack-Attack\bin\crack-attack-gui.exe
C:\Programme\Crack-Attack\bin\crack-attack-gui.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Cokeser\LOKALE~1\Temp\Rar$EX00.609\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {473F16DB-ED54-6D8D-5F1E-ABEEB5EC6EAB} - C:\DOKUME~1\Cokeser\ANWEND~1\AIMLIV~1\window amok.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Xilokit Deskloops BHO - {B0CD151E-D4F1-4474-9BED-7D0173050EAD} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MBM 5] "D:\Sonstiges\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Sonstiges\Winamp\winampa.exe
O4 - HKLM\..\Run: [itch free slow hide] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Birddrvitchfree\Forkmp3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [heckbeep] C:\DOKUME~1\Cokeser\ANWEND~1\PROXYM~1\Eq Program.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = D:\Sonstiges\XFire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121423977265
O17 - HKLM\System\CCS\Services\Tcpip\..\{49555E01-AE1C-4CB4-8C0A-4E620488537F}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)

Was nun?
Seitenanfang Seitenende
16.04.2006, 12:10
Moderator

Beiträge: 7805
#2 Nutze bitte curit im abgesicherten Modus: http://virus-protect.org/cureit.html Poste danach bitte ein Hijackthis log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.04.2006, 13:43
...neu hier

Themenstarter

Beiträge: 6
#3 Danke für die Hilfe. CureIt hat einiges gefunden, aber auch einiges nicht löschen können. Hier das neue HiJackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:40:14, on 16.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Sonstiges\Motherboard Monitor 5\MBM5.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Sonstiges\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Sonstiges\XFire\Xfire.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Cokeser\LOKALE~1\Temp\Rar$EX00.437\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {473F16DB-ED54-6D8D-5F1E-ABEEB5EC6EAB} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Xilokit Deskloops BHO - {B0CD151E-D4F1-4474-9BED-7D0173050EAD} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MBM 5] "D:\Sonstiges\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Sonstiges\Winamp\winampa.exe
O4 - HKLM\..\Run: [itch free slow hide] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Birddrvitchfree\Forkmp3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [heckbeep] C:\DOKUME~1\Cokeser\ANWEND~1\PROXYM~1\Eq Program.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = D:\Sonstiges\XFire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121423977265
O17 - HKLM\System\CCS\Services\Tcpip\..\{49555E01-AE1C-4CB4-8C0A-4E620488537F}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
Seitenanfang Seitenende
16.04.2006, 13:52
Moderator

Beiträge: 7805
#4 Der Scan wurde im abgesicherten Modus gemacht? Poste bitte das, was drweb gefuinden hat. Dazu unter Start ausfuehren %userprofil%\doctorweb\cureit.log eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte hier posten.

Kopiere Hijackthis bitte in einen Extra Ordner(C:\hijackthis z.B.) und fix das(anhaken und fix checked druecken.

O2 - BHO: (no name) - {473F16DB-ED54-6D8D-5F1E-ABEEB5EC6EAB} - (no file)
O2 - BHO: Xilokit Deskloops BHO - {B0CD151E-D4F1-4474-9BED-7D0173050EAD} - (no file)
O4 - HKLM\..\Run: [itch free slow hide] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Birddrvitchfree\Forkmp3.exe
O4 - HKCU\..\Run: [heckbeep] C:\DOKUME~1\Cokeser\ANWEND~1\PROXYM~1\Eq Program.exe

Wenn du SpySweeper nicht mehr nutzt, nimm das auch raus:
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

Mache das bitte auch im abgesicherten Modus, sonst motzt der Teatimer.
http://www.bsi.bund.de/av/texte/wiederher.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.04.2006, 14:06
...neu hier

Themenstarter

Beiträge: 6
#5 Ja, das war im abgesicherten Modus. Ich habe hierzu das Log gespeichert:

window amok.exe;C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\Aim Live One;Trojan.Swizzor;Gelöscht.;
dnfuzuek.exe;C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\ProxyMath;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
File Site Bat.exe;C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\ProxyMath;Trojan.LopAd;Gelöscht.;
kmvwmjpx.exe;C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\ProxyMath;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
lcwlmexg.exe;C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\ProxyMath;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
yckzhiyq.exe;C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\ProxyMath;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
dnfuzuek.exe;C:\Dokumente und Einstellungen\Cokeser\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
kmvwmjpx.exe;C:\Dokumente und Einstellungen\Cokeser\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
lcwlmexg.exe;C:\Dokumente und Einstellungen\Cokeser\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
yckzhiyq.exe;C:\Dokumente und Einstellungen\Cokeser\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
1134f39.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
15a5c67.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
16238a3.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
1b5317c.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
1bbe5d.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
1fc1c0a.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
204e542.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
37a65a.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
7ed0ef.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
81875e.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
b4867fad.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
b4df053e.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
bisDD.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
c87e3c.exe;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
upAYB_unk[1].int;C:\Dokumente und Einstellungen\Cokeser\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9A9POXZR;Trojan.Swizzor;Gelöscht.;
NP_0064_1.exe;C:\Programme\NetPumper\ZM;Trojan.LopAd;Gelöscht.;
Dc403.exe;C:\RECYCLER\S-1-5-21-73586283-484763869-725345543-1004;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
Dc404.exe;C:\RECYCLER\S-1-5-21-73586283-484763869-725345543-1004;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
Dc405.exe;C:\RECYCLER\S-1-5-21-73586283-484763869-725345543-1004;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0025034.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP235;Trojan.Swizzor;Gelöscht.;
A0025035.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP235;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0025036.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP235;Trojan.Swizzor;Gelöscht.;
A0025037.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP235;Trojan.LopAd;Gelöscht.;
A0026875.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Gelöscht.;
A0027911.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Gelöscht.;
A0027912.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0027913.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.LopAd;Gelöscht.;
A0027914.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0027915.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0027916.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0027917.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.LopAd;Gelöscht.;
A0027918.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0027919.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0027920.exe;C:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
stdio.dll;D:\Programme\mIRC\script\dlls;IRC.Flood;Gelöscht.;
stdio.dll;D:\Sonstiges\mIRC\script\dlls;IRC.Flood;Gelöscht.;
A0027921.dll;D:\System Volume Information\_restore{779CD8E9-EBF9-4C1B-B2EC-25152C81CEFE}\RP250;IRC.Flood;Gelöscht.;

Mir ist dabei aufgefallen, dass er noch mehrere "A0027....exe und dll"-Files gescannt hat, aber dort nicht angeschlagen hat. Auch im "System Volumne information"-Ordner.

Werde jetzt das mit HJT machen. Danke nochmals.
Seitenanfang Seitenende
16.04.2006, 14:11
Moderator

Beiträge: 7805
#6 Das ist so schon in Ordnung. Drweb meldet das etwas sonderbar. Sprich es verschiebt manchmal dateien, anstatt sie gleich zu loeschen. Das Ergebniss ist das selbe, die Datei wird nach einem Neustart nicht mehr ausgefuehrt.

Diese A*.* Dateien loeschst du, indem du die Systemwiederherstellung deaktivierst und danach wieder aktivierst. Erklaerung dazu findest du auch oben in dem BSI Link.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.04.2006, 14:24
...neu hier

Themenstarter

Beiträge: 6
#7 OK - habe jetzt sowohl mit HiJackThis die Registry-Einträge gefixt, als auch die Systemwiederherstellung deaktiviert und wieder aktiviert.

Bin ich nun wieder clean oder muss noch etwas getan werden? ;)
Seitenanfang Seitenende
16.04.2006, 14:32
Moderator

Beiträge: 7805
#8 Ja, ein paar kleinigkeiten. Poste zur Kontrolle noch ein Hijackthis log.

Dann gebe unter Start/Ausfueren CMD ein und druecke enter, dadurch oeffnet sich ein MS-DOS Fenster. Dort gebe folgendes ein und druecke ebenfalls enter:

del /ah c:\windows\tasks\*.job

Du kannst die Zeile auch in die Dosbox mit Hilfe von Kopieren/einfuegen einfuegen und dann enter druecken. Es sollte keine Meldung erscheinen, wenn du enter gedrueckt hast. Das Fenster schliesst du, indem du exit eingibst und enter drueckst.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.04.2006, 14:41
...neu hier

Themenstarter

Beiträge: 6
#9 Das neue HiJackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:39:42, on 16.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Sonstiges\Motherboard Monitor 5\MBM5.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Sonstiges\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Sonstiges\XFire\Xfire.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\HJW\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {473F16DB-ED54-6D8D-5F1E-ABEEB5EC6EAB} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {B0CD151E-D4F1-4474-9BED-7D0173050EAD} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MBM 5] "D:\Sonstiges\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Sonstiges\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Xfire.lnk = D:\Sonstiges\XFire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121423977265
O17 - HKLM\System\CCS\Services\Tcpip\..\{49555E01-AE1C-4CB4-8C0A-4E620488537F}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)

Und habe den del-Befehl eingegeben - jetzt noch etwas?
Seitenanfang Seitenende
16.04.2006, 14:43
Moderator

Beiträge: 7805
#10 Nachtrag: Du solltest auch folgende Ordner noch loeschen:

C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\Aim Live One
C:\Dokumente und Einstellungen\Cokeser\Anwendungsdaten\ProxyMath
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Birddrvitchfree
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.04.2006, 14:48
...neu hier

Themenstarter

Beiträge: 6
#11 Done.


Danke für die schnelle und kompetente Hilfe. Ist ja wirklich ein lästiger Trojaner - ich denke bei mir lag es an NetPumper, das ich mir vor einiger Zeit mal für kurze Zeit gezogen hatte, dann aber wieder deinstalliert hab - der Trojaner scheint draufgeblieben zu sein. ;)

Oder habe ich mich jetzt zu früh gefreut... ?
Seitenanfang Seitenende
16.04.2006, 15:18
Moderator

Beiträge: 7805
#12 Ja, das lag an NetpumperNein, das sollte schon passen...

Das solltset du noch loeschen:
O2 - BHO: (no name) - {473F16DB-ED54-6D8D-5F1E-ABEEB5EC6EAB} - (no file)
O2 - BHO: (no name) - {B0CD151E-D4F1-4474-9BED-7D0173050EAD} - (no file)


Wichtig dabei ist, das der Teatimer aus und der IE geschlossen ist. Sollte es so immer noch nicht funktoineren, benutzt Spybot im erweiterten Modus dazu. Das Tool dazu findest du dort unter Werkzeuge/BHO.

Ansonsten sieht der REchner sauber aus.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: