TR/Swizzor.A - Trojan.glaube bin noch mehr verseucht

#16 KASPERSKY ON-LINE SCANNER REPORT
Wednesday, May 24, 2006 2:15:20 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 24/05/2006
Kaspersky Anti-Virus database records: 195970


Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Scan Statistics
Total number of scanned objects 58314
Number of viruses found 2
Number of infected objects 6
Number of suspicious objects 0
Duration of the scan process 01:21:06

Infected Object Name Virus Name Last Action
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ford Store Fork 64\CreativeAce.exe Infected: not-a-virus:AdWare.Win32.Lop.bb skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ford Store Fork 64\WIPE DUPE.exe Infected: not-a-virus:AdWare.Win32.Lop.bb skipped

C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Bows Great Download\aqlhikgk.exe Infected: not-a-virus:AdWare.Win32.Lop.bb skipped

C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Bows Great Download\sevlzvon.exe Infected: not-a-virus:AdWare.Win32.Lop.bb skipped

C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Bows Great Download\Signregsmath.exe Infected: Trojan-Downloader.Win32.Swizzor.fg skipped

C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\locksbait\armyfork.exe Infected: Trojan-Downloader.Win32.Swizzor.fg skipped

Scan process completed.

#17 TomTom41

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
boote in den abgesicherten Modus (F8 druecken, waehrend der PC hochfaehrt)

3.
suche/loesche:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ford Store Fork 64
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Bows Great Download
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\locksbait


4.
boote wieder in den Normalmodus

5.
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Datentr„ger in Laufwerk C: ist Festplatte 1
Volumeseriennummer: C85A-31AC

Verzeichnis von C:\WINDOWS\tasks

20.05.2006 23:34 <DIR> .
20.05.2006 23:34 <DIR> ..
22.05.2006 00:00 398 1-Klick-Wartung.job
24.05.2006 15:00 264 B533856291643F82.job
18.08.2001 21:00 65 desktop.ini
24.05.2006 15:22 6 SA.DAT
4 Datei(en) 733 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Thomas\Desktop

#19 TomTom41

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h B533856291643F82.job
del B533856291643F82.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

wenn die Virenscanner dann nichts mehr finden, sollte wieder alles o.k. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#20 welchen vierenscanner soll ich benutzen mein antivir?

#21 nun, dr.web, Panda Kaspersky.... usw...alles, was du schon angewendet hast..............
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Hier mein scan ist noch was vorhanden?
so erst einmal ein großen Lob für deine Arbeit
und die geduld die für mich hattest bist ne ganz große
vielen dank
MFG Thomas Jenal

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 24. Mai 2006 17:07

Es wird nach 389813 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Thomas
Computername: MEIN

Versionsinformationen:
AVSCAN.EXE : 7.0.0.38 593960 15.03.2006 17:29:18
AVSCAN.DLL : 7.0.0.38 57384 15.03.2006 17:29:18
LUKE.DLL : 7.0.0.37 118824 15.03.2006 17:29:18
LUKERES.DLL : 7.0.0.37 32808 15.03.2006 17:29:18
ANTIVIR0.VDF : 6.32.0.60 4323840 15.03.2006 17:29:17
ANTIVIR1.VDF : 6.34.1.87 2215424 15.03.2006 17:29:17
ANTIVIR2.VDF : 6.34.1.112 75776 15.03.2006 17:29:17
ANTIVIR3.VDF : 6.34.1.132 30208 15.03.2006 17:29:17
AVEWIN32.DLL : 7.0.0.10 1225216 15.03.2006 17:29:17
AVPREF.DLL : 7.0.0.1 53288 15.03.2006 17:29:17
AVREP.DLL : 6.34.1.120 614440 15.03.2006 17:29:18
AVRPBASE.DLL : 7.0.0.0 2162728 05.05.2006 16:36:54
AVPACK32.DLL : 7.0.0.4 335912 15.03.2006 17:29:17
AVREG.DLL : 6.31.0.90 27688 15.03.2006 17:29:17
NETNT.DLL : 6.32.0.0 6696 15.03.2006 17:29:18
NETNW.DLL : 6.32.0.0 9768 15.03.2006 17:29:18
RCIMAGE.DLL : 7.0.0.63 1613864 15.03.2006 17:29:19
RCTEXT.DLL : 7.0.0.62 73768 15.03.2006 17:29:19

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Bootsektoren..................: C,A,F,G,H,I,D,E
Durchsuche Speicher...........: 0
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 4
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Mittwoch, 24. Mai 2006 17:07


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 33 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'F:\'
[HINWEIS] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[HINWEIS] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[HINWEIS] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[HINWEIS] Im Laufwerk 'I:\' ist kein Datenträger eingelegt!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 5 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Thomas\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Thomas\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\udlog.txt
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp\~DFBC7E.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad H:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad I:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Mittwoch, 24. Mai 2006 17:49
Benötigte Zeit: 41:57 min

Der Suchlauf wurde vollständig durchgeführt.

5337 Verzeichnisse wurden überprüft
183493 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1480 Archive wurden durchsucht
27 Warnungen
1 Hinweise

#23 es ist alles wieder o.k.
lade noch den Browser Firefox und stelle ihn als Standardbrowser ein (den IE nehme nur noch fuer die Windowsupdates)
http://virus-protect.org/firefox.html

und sei vorsichtiger beim surfen, nicht auf alles klicken, was da so blinkt im net
__________
MfG Sabina

rund um die PC-Sicherheit