Trojaner TR/Dldr.Swizzor.Gen

#1 Habe immer noch den TR/Dldr.Swizzor.Gen.
Könnt ihr mir nochmal helfen?

Mein Combofix Log:



"Michael Kr„mer" - 2007-07-13 18:07:30 - ComboFix 07-07-10.1 - Service Pack 2


((((((((((((((((((((((((( Files Created from 2007-06-13 to 2007-07-13 )))))))))))))))))))))))))))))))


2007-07-11 16:08 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-09 22:18 <DIR> d--h----- C:\DOKUME~1\ALLUSE~1\ANWEND~1\List Lite Start Regs
2007-07-09 22:15 <DIR> d-------- C:\Programme\multi grim data
2007-07-09 22:14 <DIR> d-------- C:\My Downloads
2007-07-09 22:14 <DIR> d-------- C:\DOKUME~1\MICHAE~1\ANWEND~1\Get-Torrent
2007-07-09 22:12 <DIR> d-------- C:\Programme\Get-Torrent
2007-07-09 11:07 <DIR> d-------- C:\DOKUME~1\MICHAE~1\ANWEND~1\PDFCreator
2007-07-04 18:36 <DIR> d-------- C:\Programme\ElsterFormular
2007-06-13 21:30 1,048,576 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-06-13 21:30 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-06-13 21:30 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen�
2007-06-13 21:30 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-06-13 21:30 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-06-13 21:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-06-13 21:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-06-13 21:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-06-13 21:30 <DIR> d-------- C:\DOKUME~1\ADMINI~1\WINDOWS
2007-06-13 21:30 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-06-13 21:30 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\toshiba
2007-06-13 21:30 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Symantec
2007-06-13 21:30 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Sonic


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-13 12:37:31 75,392 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-07-13 12:37:31 416,044 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-07-04 16:36:50 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-04 16:27:42 -------- d-----w C:\Programme\CopyRite XP
2007-07-02 15:22:11 -------- d-----w C:\DOKUME~1\MICHAE~1\ANWEND~1\dvdcss
2007-05-23 22:58:02 -------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-05-23 12:08:46 -------- d-----w C:\Programme\Nero
2007-05-23 12:07:09 -------- d-----w C:\Programme\Ahead
2007-05-22 13:54:54 -------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-05-22 12:06:01 -------- d-----w C:\Programme\PowerStrip
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll
2007-04-13 01:21:14 271,360 ----a-w C:\WINDOWS\system32\mscoree.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-12-18 05:16 59032 --a------ C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
2005-05-31 02:04 853672 --a------ C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C451C08A-EC37-45DF-AAAD-18B51AB5E837}]
2006-08-29 23:05 757760 --a------ C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D5792AA9-D373-4039-8670-2CDAB6A71F15}]
2007-02-24 00:08 225280 --a------ C:\Programme\Get-Torrent\TorrentManager.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 16:57]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-22 07:40]
"RemoteCenter"="" []
"SbUsb AudCtrl"="sbusbdll.dll" [2005-05-26 18:52 C:\WINDOWS\system32\sbusbdll.dll]
"CTSysVol"="C:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe" [2003-09-17 11:43]
"@"="" []
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 18:17]
"AnyDVD"="C:\Programme\AnyDVD.v4.3.0.1.Cracked.SND\AnyDVD.exe" [2004-12-07 20:21]
"PowerStrip"="c:\programme\powerstrip\pstrip.exe" [2007-04-08 15:22]
"NWEReboot"="" []
"InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"RemoteControl"="" []
"RemoteCenter"="C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE" [2004-06-25 11:21]
"close 01"="C:\DOKUME~1\MICHAE~1\ANWEND~1\MULTIG~1\helpview.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
C:\Programme\Apoint2K\Apoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CeEKEY]
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HWSetup]
C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Newspiper]
C:\Programme\NewsPiper\newspiper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PadTouch]
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
"C:\Programme\CyberLink\PowerCinema\PCMService.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SVPWUTIL]
C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCtryIOHook]
TCtrlIOHook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TerraTec Remote Control]
"C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TFncKy]
TFncKy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSHIBA Accessibility]
C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPNF]
C:\Programme\TOSHIBA\TouchPad\TPTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPSMain]
TPSMain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead Quick-Drop]
"C:\Programme\Ulead Systems\Ulead FilmBrennerei 4.0 Deluxe\Ulead Quick-Drop 1.0\Quick-Drop.exe" WINDOWCALL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zooming]
ZoomingHook.exe


Contents of the 'Scheduled Tasks' folder
2007-07-13 16:00:00 C:\WINDOWS\tasks\A3D96E079166E647.job

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-13 18:09:25
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-13 18:10:01
C:\ComboFix-quarantined-files.txt ... 2007-07-11 16:10
C:\ComboFix2.txt ... 2007-07-11 16:10

--- E O F ---






Mein HiJack Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:42:02, on 13.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe
C:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\AnyDVD.v4.3.0.1.Cracked.SND\AnyDVD.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Michael Krämer\Desktop\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Programme\Get-Torrent\TorrentManager.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\AnyDVD.v4.3.0.1.Cracked.SND\AnyDVD.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [close 01] C:\DOKUME~1\MICHAE~1\ANWEND~1\MULTIG~1\helpview.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {ED55B148-547A-4658-BA20-212A8D5DD93E} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\system32\CTsvcCDA.EXE (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe




AntiVir sagt:

In der Datei 'C:\System Volume Information\_restore{973A8AED-5378-4937-AE36-62DED9732C87}\RP212\A0026588.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Swizzor.Gen' [TR/Dldr.Swizzor.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Danke im Voraus,
Grüße, Storck

#2 SystemwiederherstellungArbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Frage MSN mit Sponsor installiert?

Entferne C:\WINDOWS\tasks\A3D96E079166E647.job
__________
MfG Argus

#3 Hallo, vielen Dank, ich habe Deine Anweisungen befolgt.
Aber ich weiss nicht was MSN mit Sponsor ist, und weiss auch nicht, ob ich es installiert habe.

#4 Teste diese Datei bitte bei

C:\DOKUME~1\MICHAE~1\ANWEND~1\MULTIG~1\helpview.exe

http://virusscan.Jotti.org/ und
http://www.virustotal.com/en/indexf.html
Stand alone DrWeb http://online.drweb.com/
__________
MfG Argus

#5 Hi,
die Datei ist nicht mehr auf dem Rechner, da ich sie schon beim ersten Problem gelöscht habe. Problem scheint aber geöst, da keiene Fehlermeldung mehr kam.
nochmal Danke,
Storck