TR/Dldr.Swizzor.Gen entfernen!

#46 AnjaS.

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein: (ohne "Zitat" )

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-|DeafMoveLogoMath
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-|MessengerPlus3
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MessengerPlus3

Files to delete:
C:\WINDOWS\tasks\AFF6CA6C918D7BA8.job

Folders to delete:
C:\Programme\adverts
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\bits site lies
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Upload Copy Deaf Move
C:\Programme\messengerplus! 3
C:\Programme\bits site lies

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne mit counterpsy und lasse den messengerplus! 3 - Muell mit remove loeschen
http://virus-protect.org/counterspy.html

»»
dann poste dieses log
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#47 hab nen Problem...Wenn ich counterspy hab sagt der irgendwann bevor der richtig drauf is :

Der Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert...Wenden sie sich an den Adminstrator,um weitere Details in Erfahrung zu bringen..

Kann ich das nicht ausschalten irgendwo und aktivieren?

#48 schau mal unten rechts:
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#49 laaaaaaaaaach

ich bin schon bisl blöde..

aber naja gut des hab ich ausgestellt...Dann sagt der mir jezze aber für vbs gibt es kein Skriptmodul...

Ich muss jezze aber leider wech..

Ich bin morgen nach der Arbeit gegen 18 Uhr wieder da...Vll können wir das ja dann schnell durchziehn...wäre sooo geil wenn das ginge...Vll bis morgen..

Schönen Abend dir noch

#50 dann mache einen Onlinescan mit panda und poste hier den scanreport
http://virus-protect.org/panda_online.html
__________
MfG Sabina

rund um die PC-Sicherheit

#51 hey ich bin auch wieder da aaaaaaaaaaaaber man man man es gibt nur probleme...

die sicherheitseinstellungen lassen die Verwendung von active X Steuerlementen für websites nicht zu

Nun gut ich ändere das dann auch und habs zu den sicheren Seiten zugefügt aaaaaaaaaaaber bei mir sieht das anders aus als es als Bsp angegeben ist..Der fragt weder was ich scannen will noch kommt nen Balken und der lädt..Nach der Mail eingeben und nachm grünen Pfeil drücken kommt dann nur son neues Fenster und da lädt der und lädt aber nix passiert...

Aber diese Warnmeldung kommt trotzdem weiterhin ---- die sicherheitseinstellungen lassen die Verwendung von active X Steuerlementen für websites nicht zu

#52 scanne und poste den report
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#53 =============================================================================
Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.10060)
Copyright (c) Igor Daniloff, 1992-2006
Bericht erstellt auf: 2007-01-29, 00:15:39 [RECHNER2][Kerstin]
Kommandozeile: "C:\DOKUME~1\Kerstin\LOKALE~1\Temp\RarSFX0\cureit.exe" /lng:de-cureit.dwl /ini:cureit_XP.ini
Betriebssystem:Windows XP Professional x86 (Build 2600), Service Pack 2
=============================================================================

[Prüfpfad] c:\dokumente und einstellungen\all users\startmenü\programme\autostart\desktop.ini
[Prüfpfad] c:\dokumente und einstellungen\kerstin\desktop\drweb-cureit.exe
[Prüfpfad] c:\dokumente und einstellungen\kerstin\lokale einstellungen\temp\rarsfx0\_start.exe
[Prüfpfad] c:\dokumente und einstellungen\kerstin\lokale einstellungen\temp\rarsfx0\cureit.exe
[Prüfpfad] c:\dokumente und einstellungen\kerstin\startmenü\programme\autostart\desktop.ini
[Prüfpfad] c:\programme\antivir personaledition classic\avgio.sys
[Prüfpfad] c:\programme\antivir personaledition classic\avgnt.exe
[Prüfpfad] c:\programme\antivir personaledition classic\avgntflt.sys
[Prüfpfad] c:\programme\antivir personaledition classic\avguard.exe
[Prüfpfad] c:\programme\antivir personaledition classic\sched.exe
[Prüfpfad] c:\programme\antivir personaledition classic\shlext.dll
[Prüfpfad] c:\programme\camfrog\camfrog video chat\camfrog video chat.exe
[Prüfpfad] c:\programme\camfrog\camfrog video chat\camfrognet.exe
[Prüfpfad] c:\programme\elaborate bytes\clonecd\elbyvcdshell.dll
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\information retrieval\msitss.dll
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\office11\msoxmlmf.dll
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\web components\11\owc11.dll
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\web folders\msonsext.dll
[Prüfpfad] c:\programme\gemeinsame dateien\system\ole db\oledb32.dll
[Prüfpfad] c:\programme\icqlite\icqlite.exe
[Prüfpfad] c:\programme\icqlite\icqliteshell.dll
[Prüfpfad] c:\programme\internet explorer\iexplore.exe
[Prüfpfad] c:\programme\lexmark x1100 series\lxbkbmgr.exe
[Prüfpfad] c:\programme\lexmark x1100 series\lxbkbmon.exe
[Prüfpfad] c:\programme\logitech\video\fxsvr2.exe
[Prüfpfad] c:\programme\logitech\video\isstart.exe
[Prüfpfad] c:\programme\logitech\video\logitray.exe
[Prüfpfad] c:\programme\logitech\video\manifestengine.exe
[Prüfpfad] c:\programme\logitech\video\namespc2.dll
[Prüfpfad] c:\programme\messengerplus! 3\msgplus.exe
[Prüfpfad] c:\programme\microsoft office\office11\msohev.dll

[Prüfpfad] C:\
C:\hiberfil.sys - Lesefehler
C:\Dokumente und Einstellungen\Kerstin\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\Kerstin\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
>C:\System Volume Information\_restore{4F88AFC3-1D96-459D-8D10-5B65635BF476}\RP314\A0020121.exe infiziert mit Trojan.Swizzor - gelöscht
>C:\System Volume Information\_restore{4F88AFC3-1D96-459D-8D10-5B65635BF476}\RP314\A0020123.exe infiziert mit Trojan.Swizzor - gelöscht
>C:\System Volume Information\_restore{4F88AFC3-1D96-459D-8D10-5B65635BF476}\RP314\A0020124.exe infiziert mit Trojan.Swizzor - gelöscht
>C:\System Volume Information\_restore{4F88AFC3-1D96-459D-8D10-5B65635BF476}\RP314\A0020126.exe infiziert mit Trojan.Swizzor - gelöscht
>C:\System Volume Information\_restore{4F88AFC3-1D96-459D-8D10-5B65635BF476}\RP314\A0020159.exe infiziert mit Trojan.Swizzor - gelöscht
>C:\System Volume Information\_restore{4F88AFC3-1D96-459D-8D10-5B65635BF476}\RP314\A0020160.exe infiziert mit Trojan.Swizzor - gelöscht
>C:\System Volume Information\_restore{4F88AFC3-1D96-459D-8D10-5B65635BF476}\RP314\A0020161.exe infiziert mit Trojan.Swizzor - gelöscht
>C:\System Volume Information\_restore{4F88AFC3-1D96-459D-8D10-5B65635BF476}\RP314\A0020162.exe infiziert mit Trojan.Swizzor - gelöscht
C:\WINDOWS\system32\bdeinsta2.dll ist ein Adware-Programm Adware.Altnet
C:\WINDOWS\system32\config\default - Lesefehler
C:\WINDOWS\system32\config\default.LOG - Lesefehler
C:\WINDOWS\system32\config\SAM - Lesefehler
C:\WINDOWS\system32\config\SAM.LOG - Lesefehler
C:\WINDOWS\system32\config\SECURITY - Lesefehler
C:\WINDOWS\system32\config\SECURITY.LOG - Lesefehler
C:\WINDOWS\system32\config\software - Lesefehler
C:\WINDOWS\system32\config\software.LOG - Lesefehler
C:\WINDOWS\system32\config\system - Lesefehler
C:\WINDOWS\system32\config\system.LOG - Lesefehler
C:\WINDOWS\system32\drivers\sptd.sys - Lesefehler
C:\WINDOWS\system32\drivers\sptd2765.sys - Lesefehler

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 89581
Infizierte Objekte gefunden: 8
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 1
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 8
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 69 Kb/s
Dauer:: 09:34:33
-----------------------------------------------------------------------------

#54 AnjaS.

Avenger - kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\bdeinsta2.dll

Folders to delete:
C:\Programme\adverts
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\bits site lies
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Upload Copy Deaf Move
C:\Programme\messengerplus! 3
C:\Programme\bits site lies

ich moechte gern das log vom avenger sehen, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#55 hatte erst nen Problem mit Error aaaaaaaaaber da war ja wieder ne Hilfe auf der Seite...*Noch dran gedacht hab*

So des das was von Avenger irgendwie kam :


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\itjtqion

*******************

Script file located at: \??\C:\WINDOWS\nimdlrkl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\bdeinsta2.dll deleted successfully.


Folder C:\Programme\adverts not found!
Deletion of folder C:\Programme\adverts failed!

Could not process line:
C:\Programme\adverts
Status: 0xc0000034



Folder C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\bits site lies not found!
Deletion of folder C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\bits site lies failed!

Could not process line:
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\bits site lies
Status: 0xc0000034



Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Upload Copy Deaf Move not found!
Deletion of folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Upload Copy Deaf Move failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Upload Copy Deaf Move
Status: 0xc0000034

Folder C:\Programme\messengerplus! 3 deleted successfully.


Folder C:\Programme\bits site lies not found!
Deletion of folder C:\Programme\bits site lies failed!

Could not process line:
C:\Programme\bits site lies
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.





achja...wie weit sind wir denn mit dem ganzen?

#56 loesche das backup vom Avenger (findest du im Avenger-ordner)
dann sollte wieder alles i.o. sein

lade den messengerplus! 3 nicht mehr neu - er bringt den Swizzor-Trojaner mit sich, wenn du beim Laden die das Haekchen vom Akzeptieren der Werbekomponente nicht rausnimmst
__________
MfG Sabina

rund um die PC-Sicherheit

#57 äääääääääähm....Ich weiß nich genau was du meinst...hmm da komm ich grad nich wirklich weiter..I´m so sorry


Und ich hab noch ne Frage...Ich bekomm immer diese Werbung Seiten wenn ich ne Seite aufmache also dann kommen die auch immer...Wie kann ichn des ausschalten???

#58 wenn noch webung kommt, ist der swizzor-Trojaner noch nicht geloescht.
poste
a) das neue log vom Hijackthis
b) das neue log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#59 Logfile of HijackThis v1.99.1
Scan saved at 19:12:01, on 30.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Kerstin\LOKALE~1\Temp\Rar$EX00.935\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: (no name) - {5155BEE7-6195-2749-1C56-32F4F4CE3B38} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Camfrog] "C:\Programme\Camfrog\Camfrog Video Chat\CamfrogNet.exe" 0 C:\Programme\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://www.pandasoftware.com
O15 - Trusted Zone: http://www.xaviernaidoo.de
O16 - DPF: {67925165-C4B6-11D2-B9C6-0000E84F59A6} (BDESmartInstaller Class) - file://E:\b3d\common\bdeinsta\bdeinsta.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A36D0454-13CE-40FF-A5AD-480F8324CC6F}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

#60 AnjaS.

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {5155BEE7-6195-2749-1C56-32F4F4CE3B38} - (no file)

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart

PC neustarten

»»
scanne und poste den scanreport
http://virus-protect.org/panda_online.html
__________
MfG Sabina

rund um die PC-Sicherheit