Home » Viren, Trojaner & Malware Forum » Tojaner an Bord: Swizzor und FatObfus » Themenansicht

Tojaner an Bord: Swizzor und FatObfus
#0
20.03.2007, 23:03
deux
...neu hier

Beiträge: 8
#1 Hallo, ich habe mir wohl gleich 3 verschiedene Trojaner eingefangen und würde um eure Hilfe bitten, diese wieder loszuwerden. Antivir zeigt mir an,
dass ich die Trojaner:
TR/Dldr.Swizzor.Gen,
TR/Dldr.Swizzor.DV,
TR/FatObfus.D.46,
TR/Spy.Banker.vk.1 sowie etwas, das sich Droppers DR/FakeFormat.105 nennt auf dem Rechner habe.

Ich habe auch schon die anderen Beiträge zum Swizzor gelesen, allerdings bin ich daraus nicht ganz schlau geworden, was genau und wie ich die Einträge entfernen muss. Dies sind meine ersten Trojaner, daher wäre es schön, wenn ihr mir helfen könntet.

Ich habe das Hijack log erstellt, allerdings hat es nicht funktioniert, Combofix runterzuladen. Der Bleepingcomputer Link funktioniert nicht und bei techsupportforum heisst es, ich hätte das Programm von einer falschen Quelle geladen. Gibt es noch einen alternativen Link, um an Combofix zu kommen, wenn der Log auch noch nötig ist?

Logfile of HijackThis v1.99.1
Scan saved at 22:34:21, on 20.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Browser Mouse\mouse32a.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Java\jre1.5.0_07\bin\jusched.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\RALINK\Common\RaUI.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\Xname\LOKALE~1\Temp\Rar$EX00.930\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] D:\Programme\Browser Mouse\mouse32a.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WebWasher] D:\Programme\WebWasher\wwasher.exe
O4 - HKCU\..\Run: [BitTorrent] "D:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [Logo surf] D:\DOKUME~1\Xname\ANWEND~1\DELETE~1\tonsloud.exe
O4 - Startup: Adobe Gamma.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = D:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe


Danke für eure Hilfe!
Seitenanfang Seitenende
21.03.2007, 12:20
raman
Moderator

Beiträge: 7805
#2 Leiste bitte etwas vorarbeit:
Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm

starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) ZUusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern.
http://support.microsoft.com/default.aspx?scid=kb;de;315246

Lasse Antivir dort deine Festplatten pruefen und alle Funde in die Quarantäne schieben.

Jetzt bitte Combofix nutzen: http://virus-protect.org/artikel/tools/combofix.html
Neuer Link zu Combofix: http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

Dann den Rechner neu starten, poste den Bericht, den Antivir im abgesicherten Modus erstellt hat, den Compbofix Report und dazu noch ein aktuelles Hijackthis log(vor dem Start Hijackthis.exe in test.com umbenennen).
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.03.2007, 16:37
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 deux

ich kann vor den scans noch mal nachsehen ;)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1