PC neu formatiert und schon wieder den Swizzor Trojaner drauf!

#1 Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.partypoker.com/om/HPfull.htm?wm=2744369&p=1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Love default global mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\FRAG HTM.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [holddrv] C:\DOKUME~1\Besitzer\ANWEND~1\FLAPRE~1\ante itch trust.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4030 bytes

Ich weiß nicht mehr weiter. Der PC ist doch leer. Wieso ist dieser verdammte Trojaner noch drauf??
Kann mir jemand helfen??
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.

#2 MSN installiert mit Sponsor?

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O4 - HKLM\..\Run: [Love default global mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\FRAG HTM.exe
O4 - HKCU\..\Run: [holddrv] C:\DOKUME~1\Besitzer\ANWEND~1\FLAPRE~1\ante itch trust.exe

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Download CID-Killer zum Desktop
Fuehre bei “Uninstall verification“ die siebenstellige Zahl ein und klicke “Uninstall“
Klicke bei “Legal notice” ok
Schliesse alle Fenster und klicke ok
Warte…..und klicke bei “Uninstall complete for all users “ok

Und berichte
__________
MfG Argus

#3 Hallo Arnold,
bis Fix Checked bin ich gekommen. Dann wollte ich wie du geschrieben hast CID-Killer downloaden, aber das geht nicht, mein ANtiVirus meldet dann immer Trojaner Swizor gefunden und ich kann nicht downloaden.

LG
Anja
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.

#4 stelle den Antivirus kurzzeitig aus....nach der Reinigung aktiviere ihn wieder
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Okay, das habe aich gemacht. Bin auch bis bis complete für all users gekommen. Und nun?? Was muss ich jetzt machen?

Jetzt ist der MSN Messenger weg-gelöscht-fort!!?? War da der Swizzor drauf??

LG von Anja
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.

#6 ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein
__________
MfG Argus

#7 Hallo Anja,

MSN Messenger ist nicht der richtige Ausdruck..du hast diesen Messenger Plus! Live (hat nix mit originalen MSN-Messenger zu tun) geladen + Sponsor, das bringt den Trojaner mit auf den Rechner

inzwischen, weil die Plage zu gross wurde... haben nette Leute Entfernungstools entwickelt, denn vor zwei Jahren war es eine lange Prozedur, um den Müll vom Rechner zu bekommen.
siehe:
http://www.virus-protect.org/artikel/spyware/lop1.html


__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#8 Dateien erstellt von 2008-02-09 bis 2008-03-09 ))))))))))))))))))))))))))))))
.

2008-03-08 13:40 . 2008-03-08 13:40 <DIR> d---s---- C:\Dokumente und Einstellungen\Besitzer\UserData
2008-03-07 18:36 . 2006-04-05 02:05 73,216 --a------ C:\WINDOWS\system32\E_FLBBVE.DLL
2008-03-07 18:36 . 2005-04-11 02:01 62,976 --a------ C:\WINDOWS\system32\E_FD4BBVE.DLL
2008-03-07 18:36 . 2004-09-10 21:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2008-03-07 18:36 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-03-07 18:36 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-03-06 22:00 . 2008-03-06 22:00 <DIR> d-------- C:\Programme\Trend Micro
2008-03-06 17:16 . 2008-03-06 17:16 <DIR> d-------- C:\Programme\Avira
2008-03-06 17:16 . 2008-03-06 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-06 15:34 . 2008-03-06 15:34 22 --a------ C:\WINDOWS\system32\ati64hlp.stb
2008-03-06 11:34 . 2008-03-07 18:37 <DIR> d-------- C:\Programme\epson
2008-03-06 11:34 . 2006-03-20 00:00 63,488 --a------ C:\WINDOWS\system32\escwiad.dll
2008-03-06 11:34 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-03-06 11:34 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-03-06 11:33 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-03-06 11:33 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-03-06 11:33 . 2008-03-06 11:33 25 --a------ C:\WINDOWS\CDE DX5000EFDG.ini
2008-03-05 22:38 . 2008-03-05 22:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-03-05 22:22 . 2008-03-06 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Contacts
2008-03-05 22:21 . 2008-03-05 22:21 <DIR> d-------- C:\Programme\Messenger Plus! Live
2008-03-05 22:21 . 2008-03-05 22:21 <DIR> d-------- C:\Programme\Circle Developement
2008-03-05 22:20 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-03-05 22:19 . 2008-03-05 22:20 <DIR> d-------- C:\Programme\Java
2008-03-05 22:18 . 2008-03-05 22:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-03-05 22:16 . 2008-03-05 22:16 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-03-05 22:15 . 2008-03-05 22:15 <DIR> d-------- C:\Programme\Windows Live
2008-03-05 21:44 . 2003-08-12 14:12 229,376 -ra------ C:\WINDOWS\system32\atiiiexx.dll
2008-03-05 21:32 . 2008-03-09 10:56 509,984 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-03-05 21:32 . 2008-03-08 14:56 6,308 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-05 21:28 . 2007-12-13 19:27 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
2008-03-05 21:28 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-03-05 21:28 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2008-03-05 21:28 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-03-05 21:28 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-03-05 21:28 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-03-05 21:06 . 2008-03-05 21:30 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-03-05 21:05 . 2008-03-05 21:28 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-03-05 21:05 . 2008-03-05 21:05 <DIR> d-------- C:\Programme\Zone Labs
2008-03-05 21:05 . 2008-03-09 09:12 358,830 --a------ C:\WINDOWS\system32\vsconfig.xml
2008-03-05 21:05 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2008-03-05 21:04 . 2008-03-09 10:53 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-03-05 21:02 . 2008-03-05 21:02 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-03-05 21:02 . 2008-03-05 21:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-05 21:02 . 2008-03-05 21:02 0 --a------ C:\WINDOWS\nsreg.dat
2008-03-05 21:01 . 2008-03-05 21:01 99,971 --a------ C:\WINDOWS\UninstallFirefox.exe
2008-03-05 21:01 . 2008-03-05 21:01 2,608 --a------ C:\WINDOWS\mozver.dat
2008-03-05 20:57 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-03-05 20:57 . 2008-03-05 20:57 400 --a------ C:\WINDOWS\ODBC.INI
2008-03-05 20:56 . 2008-03-05 20:56 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-03-05 20:54 . 2008-03-05 20:54 <DIR> dr-h----- C:\MSOCache
2008-03-05 20:50 . 2008-03-05 20:50 2,422 --a------ C:\WINDOWS\system32\wpa.bak
2008-03-05 20:48 . 2008-03-05 20:48 <DIR> d-------- C:\Programme\Realtek Sound Manager
2008-03-05 20:48 . 2008-03-05 20:48 <DIR> d-------- C:\Programme\AvRack
2008-03-05 20:47 . 2008-03-05 21:44 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-03-05 20:47 . 2008-03-05 21:44 <DIR> d-------- C:\Programme\ATI Technologies
2008-03-05 20:47 . 2003-10-08 09:05 13,426,176 --a------ C:\WINDOWS\system32\ALSNDMGR.CPL
2008-03-05 20:47 . 2003-09-02 06:54 208,896 --------- C:\WINDOWS\alcupd.exe
2008-03-05 20:47 . 2003-07-17 08:09 139,264 --------- C:\WINDOWS\alcrmv.exe
2008-03-05 20:47 . 2003-04-23 05:06 13,174 -ra------ C:\WINDOWS\system32\drivers\atisgkaf.SYS
2008-03-05 20:46 . 2008-03-05 20:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-03-05 20:00 . 2008-03-05 19:20 261 --a------ C:\WINDOWS\system32\$winnt$.inf

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-05 18:17 --------- d-----w C:\Programme\microsoft frontpage
2008-03-05 18:15 --------- d-----w C:\Programme\Online-Dienste
2008-03-05 18:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-10-08 10:41 57344 C:\WINDOWS\SOUNDMAN.EXE]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 06:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 21:10 335872]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-06 17:19 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=

S3 SetupNTGLM7X;SetupNTGLM7X;H:\NTGLM7X.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-09 10:56:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-09 10:57:26
ComboFix2.txt 2008-03-09 09:48:48


ACh du Schande, dann lag es wohl an dem MSN Plus Life!!

Gruß
Anja
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.

#9 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK
Entferne auf C:\combofix.txt

Uninstaller entfernen >rechtsklick>entfernen
__________
MfG Argus

#10 und das war es dann????
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.

#11 Das wars,Happy Surfing
__________
MfG Argus

#12 arnold, ich verstehe das mit dem kopieren von combo fix nicht, bitte nochmal für doofe erklären
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.

#13 Rechtsklick auf ComboFix /U >Kopieren und in Ausfuehren mit rechtsklick Einfuegen und OK klicken

Edit: mit linkermausknopf ComboFix /U selektieren>waehle kopieren in Ausfuehren mit rechtsklick Einfuegen und OK klicken
__________
MfG Argus

#14 Also bei mir auf dem Destop ist ComboFix mit einen roten x als Symbol, da steht nichts von /U.
Ich hab rechtsklick gemacht und kopiert, kann es aber nciht bei ausführen einfügen! Geht nicht. Das Wort einfügen kommt nicht beim Rechtsklick!
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.

#15 Klicke auf den Startbutton und waehle>Ausfuehren und kopiere oder tippe da rein ComboFix /U und klicke OK
Achte auf das leerzeichen zwischen ComboFix<leerzeichen>/U


__________
MfG Argus