PC neu formatiert und schon wieder den Swizzor Trojaner drauf! |
||
---|---|---|
#0
| ||
06.03.2008, 22:13
Member
Beiträge: 16 |
||
|
||
06.03.2008, 23:42
Ehrenmitglied
Beiträge: 6028 |
#2
MSN installiert mit Sponsor?
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O4 - HKLM\..\Run: [Love default global mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\FRAG HTM.exe O4 - HKCU\..\Run: [holddrv] C:\DOKUME~1\Besitzer\ANWEND~1\FLAPRE~1\ante itch trust.exe klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Download CID-Killer zum Desktop Fuehre bei “Uninstall verification“ die siebenstellige Zahl ein und klicke “Uninstall“ Klicke bei “Legal notice” ok Schliesse alle Fenster und klicke ok Warte…..und klicke bei “Uninstall complete for all users “ok Und berichte __________ MfG Argus |
|
|
||
08.03.2008, 13:39
Member
Themenstarter Beiträge: 16 |
#3
Hallo Arnold,
bis Fix Checked bin ich gekommen. Dann wollte ich wie du geschrieben hast CID-Killer downloaden, aber das geht nicht, mein ANtiVirus meldet dann immer Trojaner Swizor gefunden und ich kann nicht downloaden. LG Anja __________ Wenn das Leben dir eine Zitrone gibt, mach Limonade draus. |
|
|
||
08.03.2008, 15:10
Ehrenmitglied
Beiträge: 1441 |
#4
stelle den Antivirus kurzzeitig aus....nach der Reinigung aktiviere ihn wieder
__________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
09.03.2008, 09:37
Member
Themenstarter Beiträge: 16 |
#5
Okay, das habe aich gemacht. Bin auch bis bis complete für all users gekommen. Und nun?? Was muss ich jetzt machen?
Jetzt ist der MSN Messenger weg-gelöscht-fort!!?? War da der Swizzor drauf?? LG von Anja __________ Wenn das Leben dir eine Zitrone gibt, mach Limonade draus. Dieser Beitrag wurde am 09.03.2008 um 09:50 Uhr von xyAnjaxy editiert.
|
|
|
||
09.03.2008, 09:52
Ehrenmitglied
Beiträge: 6028 |
#6
ComboFix
Download ComboFix und speichert es auf den Desktop! Alle Fenster schliessen und combofix.exe starten Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein __________ MfG Argus |
|
|
||
09.03.2008, 10:11
Ehrenmitglied
Beiträge: 1441 |
#7
Hallo Anja,
MSN Messenger ist nicht der richtige Ausdruck..du hast diesen Messenger Plus! Live (hat nix mit originalen MSN-Messenger zu tun) geladen + Sponsor, das bringt den Trojaner mit auf den Rechner inzwischen, weil die Plage zu gross wurde... haben nette Leute Entfernungstools entwickelt, denn vor zwei Jahren war es eine lange Prozedur, um den Müll vom Rechner zu bekommen. siehe: http://www.virus-protect.org/artikel/spyware/lop1.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
09.03.2008, 10:58
Member
Themenstarter Beiträge: 16 |
#8
Dateien erstellt von 2008-02-09 bis 2008-03-09 ))))))))))))))))))))))))))))))
. 2008-03-08 13:40 . 2008-03-08 13:40 <DIR> d---s---- C:\Dokumente und Einstellungen\Besitzer\UserData 2008-03-07 18:36 . 2006-04-05 02:05 73,216 --a------ C:\WINDOWS\system32\E_FLBBVE.DLL 2008-03-07 18:36 . 2005-04-11 02:01 62,976 --a------ C:\WINDOWS\system32\E_FD4BBVE.DLL 2008-03-07 18:36 . 2004-09-10 21:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL 2008-03-07 18:36 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2008-03-07 18:36 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys 2008-03-06 22:00 . 2008-03-06 22:00 <DIR> d-------- C:\Programme\Trend Micro 2008-03-06 17:16 . 2008-03-06 17:16 <DIR> d-------- C:\Programme\Avira 2008-03-06 17:16 . 2008-03-06 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-03-06 15:34 . 2008-03-06 15:34 22 --a------ C:\WINDOWS\system32\ati64hlp.stb 2008-03-06 11:34 . 2008-03-07 18:37 <DIR> d-------- C:\Programme\epson 2008-03-06 11:34 . 2006-03-20 00:00 63,488 --a------ C:\WINDOWS\system32\escwiad.dll 2008-03-06 11:34 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys 2008-03-06 11:34 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys 2008-03-06 11:33 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2008-03-06 11:33 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys 2008-03-06 11:33 . 2008-03-06 11:33 25 --a------ C:\WINDOWS\CDE DX5000EFDG.ini 2008-03-05 22:38 . 2008-03-05 22:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus! 2008-03-05 22:22 . 2008-03-06 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Contacts 2008-03-05 22:21 . 2008-03-05 22:21 <DIR> d-------- C:\Programme\Messenger Plus! Live 2008-03-05 22:21 . 2008-03-05 22:21 <DIR> d-------- C:\Programme\Circle Developement 2008-03-05 22:20 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-03-05 22:19 . 2008-03-05 22:20 <DIR> d-------- C:\Programme\Java 2008-03-05 22:18 . 2008-03-05 22:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java 2008-03-05 22:16 . 2008-03-05 22:16 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE 2008-03-05 22:15 . 2008-03-05 22:15 <DIR> d-------- C:\Programme\Windows Live 2008-03-05 21:44 . 2003-08-12 14:12 229,376 -ra------ C:\WINDOWS\system32\atiiiexx.dll 2008-03-05 21:32 . 2008-03-09 10:56 509,984 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-03-05 21:32 . 2008-03-08 14:56 6,308 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-03-05 21:28 . 2007-12-13 19:27 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll 2008-03-05 21:28 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe 2008-03-05 21:28 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll 2008-03-05 21:28 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll 2008-03-05 21:28 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll 2008-03-05 21:28 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2008-03-05 21:06 . 2008-03-05 21:30 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2008-03-05 21:05 . 2008-03-05 21:28 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs 2008-03-05 21:05 . 2008-03-05 21:05 <DIR> d-------- C:\Programme\Zone Labs 2008-03-05 21:05 . 2008-03-09 09:12 358,830 --a------ C:\WINDOWS\system32\vsconfig.xml 2008-03-05 21:05 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll 2008-03-05 21:04 . 2008-03-09 10:53 <DIR> d-------- C:\WINDOWS\Internet Logs 2008-03-05 21:02 . 2008-03-05 21:02 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-03-05 21:02 . 2008-03-05 21:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-03-05 21:02 . 2008-03-05 21:02 0 --a------ C:\WINDOWS\nsreg.dat 2008-03-05 21:01 . 2008-03-05 21:01 99,971 --a------ C:\WINDOWS\UninstallFirefox.exe 2008-03-05 21:01 . 2008-03-05 21:01 2,608 --a------ C:\WINDOWS\mozver.dat 2008-03-05 20:57 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll 2008-03-05 20:57 . 2008-03-05 20:57 400 --a------ C:\WINDOWS\ODBC.INI 2008-03-05 20:56 . 2008-03-05 20:56 <DIR> d-------- C:\WINDOWS\SHELLNEW 2008-03-05 20:54 . 2008-03-05 20:54 <DIR> dr-h----- C:\MSOCache 2008-03-05 20:50 . 2008-03-05 20:50 2,422 --a------ C:\WINDOWS\system32\wpa.bak 2008-03-05 20:48 . 2008-03-05 20:48 <DIR> d-------- C:\Programme\Realtek Sound Manager 2008-03-05 20:48 . 2008-03-05 20:48 <DIR> d-------- C:\Programme\AvRack 2008-03-05 20:47 . 2008-03-05 21:44 <DIR> d--h----- C:\Programme\InstallShield Installation Information 2008-03-05 20:47 . 2008-03-05 21:44 <DIR> d-------- C:\Programme\ATI Technologies 2008-03-05 20:47 . 2003-10-08 09:05 13,426,176 --a------ C:\WINDOWS\system32\ALSNDMGR.CPL 2008-03-05 20:47 . 2003-09-02 06:54 208,896 --------- C:\WINDOWS\alcupd.exe 2008-03-05 20:47 . 2003-07-17 08:09 139,264 --------- C:\WINDOWS\alcrmv.exe 2008-03-05 20:47 . 2003-04-23 05:06 13,174 -ra------ C:\WINDOWS\system32\drivers\atisgkaf.SYS 2008-03-05 20:46 . 2008-03-05 20:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2008-03-05 20:00 . 2008-03-05 19:20 261 --a------ C:\WINDOWS\system32\$winnt$.inf . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-05 18:17 --------- d-----w C:\Programme\microsoft frontpage 2008-03-05 18:15 --------- d-----w C:\Programme\Online-Dienste 2008-03-05 18:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2003-10-08 10:41 57344 C:\WINDOWS\SOUNDMAN.EXE] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 06:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 21:10 335872] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-06 17:19 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= S3 SetupNTGLM7X;SetupNTGLM7X;H:\NTGLM7X.sys [] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-09 10:56:36 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-03-09 10:57:26 ComboFix2.txt 2008-03-09 09:48:48 ACh du Schande, dann lag es wohl an dem MSN Plus Life!! Gruß Anja __________ Wenn das Leben dir eine Zitrone gibt, mach Limonade draus. |
|
|
||
09.03.2008, 11:25
Ehrenmitglied
Beiträge: 6028 |
#9
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK Entferne auf C:\combofix.txt Uninstaller entfernen >rechtsklick>entfernen __________ MfG Argus |
|
|
||
09.03.2008, 11:48
Member
Themenstarter Beiträge: 16 |
||
|
||
09.03.2008, 11:50
Ehrenmitglied
Beiträge: 6028 |
||
|
||
09.03.2008, 11:58
Member
Themenstarter Beiträge: 16 |
#12
arnold, ich verstehe das mit dem kopieren von combo fix nicht, bitte nochmal für doofe erklären
__________ Wenn das Leben dir eine Zitrone gibt, mach Limonade draus. |
|
|
||
09.03.2008, 12:01
Ehrenmitglied
Beiträge: 6028 |
#13
Rechtsklick auf ComboFix /U >Kopieren und in Ausfuehren mit rechtsklick Einfuegen und OK klicken
Edit: mit linkermausknopf ComboFix /U selektieren>waehle kopieren in Ausfuehren mit rechtsklick Einfuegen und OK klicken __________ MfG Argus |
|
|
||
09.03.2008, 12:07
Member
Themenstarter Beiträge: 16 |
#14
Also bei mir auf dem Destop ist ComboFix mit einen roten x als Symbol, da steht nichts von /U.
Ich hab rechtsklick gemacht und kopiert, kann es aber nciht bei ausführen einfügen! Geht nicht. Das Wort einfügen kommt nicht beim Rechtsklick! __________ Wenn das Leben dir eine Zitrone gibt, mach Limonade draus. |
|
|
||
09.03.2008, 12:15
Ehrenmitglied
Beiträge: 6028 |
#15
Klicke auf den Startbutton und waehle>Ausfuehren und kopiere oder tippe da rein ComboFix /U und klicke OK
Achte auf das leerzeichen zwischen ComboFix<leerzeichen>/U Anhang: start_ausfuehren.jpg __________ MfG Argus |
|
|
||
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.partypoker.com/om/HPfull.htm?wm=2744369&p=1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Love default global mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\FRAG HTM.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [holddrv] C:\DOKUME~1\Besitzer\ANWEND~1\FLAPRE~1\ante itch trust.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 4030 bytes
Ich weiß nicht mehr weiter. Der PC ist doch leer. Wieso ist dieser verdammte Trojaner noch drauf??
Kann mir jemand helfen??
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.