win32.trojandownloader.swizzor.br

kentucky · 06.12.2004, 22:14

ich habe mir so wie es aussieht auch diesen wurm eingefangen. ich werde ihn auch nicht mehr los. habe mich ein wenig schlau gemacht und versucht ihn mit HijackThis im abgesicherten modus und deaktivierter systemwiederherstellung zu fixen----ohne erfolg.

hier meine log von hijackthis:

Logfile of HijackThis v1.98.0
Scan saved at 22:12:49, on 06.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\progra~1\pinnacle\shared~1\programs\medias~1\pmshost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 9.0d\aoltray.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\AOL 9.0d\waol.exe
C:\Programme\AOL 9.0d\shellmon.exe
C:\Dokumente und Einstellungen\Sven\Desktop\HijackThis.exe
C:\WINDOWS\notepad.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://izzvayqhxjefktimoekbkht.net/w...h3fVaN4dCW.asp
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
O4 - HKLM\..\Run: [CorelDRAW ESSENTIALS14] C:\Programme\Corel\CorelDRAW ESSENTIALS 2\Register\Registration.exe /title="CorelDRAW ESSENTIALS" /date=121304 serial=ES02WBG-0090091-CML
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [mwavscan] "C:\Kaspersky\mwavscan.com" /s
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [CityFrag] C:\DOKUME~1\Sven\ANWEND~1\PURELO~1\iso htm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0d\aoltray.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save with Download Manager... - C:\Programme\J River\Media Jukebox\DMDownload.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/De...pi/activex.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/act...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/act...ActiveData.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{40632B49-E954-49E8-B39F-B00CABD188D2}: NameServer = 205.188.146.145

Den Eintrag 017 - HKLM..... habe ich im abgesicherten Modus nicht gesehen. woran liegt das und wie werde ich das ding wieder los?

Vielen dank für eure hilfe im vorraus.

Cidre · 06.12.2004, 22:23

Hallo,

fixe die Einträge nochmals und lösche auch die Dateien sonst befindest du dich, wie du bereits erlebt hast, in einer Endlosschleife.
Verwende eScan AntiVirus wie beschrieben und lösche auch diese gefundene Malware manuell.
Danach sollte dein Problem erledigt sein.

Zitat:

Den Eintrag 017 - HKLM..... habe ich im abgesicherten Modus nicht gesehen. woran liegt das und wie werde ich das ding wieder los?

Keine Angst, diesen Eintrag siehst du nur bei einer bestehenden I-net Verbindung! Das ist der DNS Server deines Providers: AOL.

kentucky · 06.12.2004, 22:26

erstmal rechtherzlichen dank für deine schnelle antwort.

aber wie um himmels willen lösche ich die dateien und vor allem wo?

wenn ich das noch wüßte.....wäre ich wohl einer der glücklichsten menschen der welt.

Cidre · 06.12.2004, 22:34

Zitat:

aber wie um himmels willen lösche ich die dateien

F1 Taste drücken -> Datei löschen eingeben und lesen

Zitat:

und vor allem wo?

im abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm

kentucky · 06.12.2004, 22:36

vielen dank. ist angekommen ich werde es nachher gleich mal probieren.
kannst du mir vielleicht noch sagen wie ich mich sinnvoll vor bösen sachen aus dem weltweiten netz schützen kann?

norton antivirus scheint mir nicht zuverlässig.

über ein paar infos und anregungen würde ich mich sehr freuen.......

vor allem würde mich interessieren ob ich mit aol ne alternative zum ie habe.

ich traue dem microsoft nicht so ganz. mein kumpel hat nen apple und nie solche probleme.......

Cidre · 06.12.2004, 22:51

Zitat:

norton antivirus scheint mir nicht zuverlässig.

Sicherheit kann man sich nicht kaufen.

Zitat:

über ein paar infos und anregungen

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000110000000000000000

Zitat:

vor allem würde mich interessieren ob ich mit aol ne alternative zum ie habe.

Jetzt noch, aber bald nicht mehr, siehe http://www.heise.de/newsticker/meldung/51989

Zitat:

ich traue dem microsoft nicht so ganz.

Auch MS kannst du sicherer konfigurieren. Wenn du dich an einige Grundregeln hältst, dein Surf- und Downloadverhalten unter Kontrolle hast und dein System inklusive aller Programme stets aktuell hältst, dann bist auf der sicheren Seite.

win32.trojandownloader.swizzor.br

Plagegeister aller Art und deren Bekämpfung: win32.trojandownloader.swizzor.br