Hallo alle zusammen,

beschäftige mich seit 2 Tagen mit meinem Rechner und habe jetzt sämtliche Programme wie Adaware, Escan, Hijackthis, AntiVir, Spybot, search & destroy sowie Spysubtract und den CWShredder auch im abgesichterten Modus durchlaufen lassen und es ist alles clean bis auf das Ergebnis beim Escan und deshalb bitte ich Euch um Eure Hilfe bei der Auswertung des Ergebnis von Escan.

Auch bitte ich um Eure Mitteilung wie ich die Sachen, die dort angezeigt werden wieder loswerde und warum alle anderen Programme nichts dergleichen anzeigen.

Hier ist das Protokoll der gefundenen Viren durch Escan:
Escan am 29.12.2004 im normalen Modus und im abgesicherten Modus am 30.12.2004

File C:\WINDOWS\system32\TFTP3076 infected by "Worm.Win32.Lovesan.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\BOLD ROAD.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\Ooze Stupid.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\Ping build.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\uploadwindow.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\Safe wma option\Hole Defy.exe infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\Clock Sect.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\dimkhgyc.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\DvdDrawMeal.exe infected by "TrojanDownloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\For army bits multi.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\jcrygwim.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\plraxmjx.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\yfxdohpc.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F1F45635-447C-446E-86E0-6ABB1988BECA}\RP24\A0004175.exe tagged as not-a-virus:Porn-Dialer.Win32.Star. No Action Taken.
File C:\System Volume Information\_restore{F1F45635-447C-446E-86E0-6ABB1988BECA}\RP58\A0008935.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\TFTP3076 infected by "Worm.Win32.Lovesan.a" Virus. Action Taken: No Action Taken.
File D:\Downloads\hijackthis\backups\backup-20041229-095002-199.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File D:\Driver\VGA\V767_WHQL\Win 9x\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.
File D:\Driver\VGA\V767_WHQL\Win NT\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.

Vielen lieben Dank für Eure Hilfe!

Liebe Grüsse DKNS2212

@DKNS2212
diese datei sichern auf diskette oder cd zwecks beweissicherung(dialer)
C:\System Volume Information\_restore{F1F45635-447C-446E-86E0-6ABB1988BECA}\RP24\A0004175.exe tagged as not-a-virus:Porn-Dialer.Win32.Star.
dann systemwiederherstellung deaktivieren, neu booten, systemwiederherstellung aktivieren.
vor info über swissor.bz und swizzor.bo
http://www.sophos.de/virusinfo/analy...swizzorbo.html
http://www.sophos.de/virusinfo/analy...swizzorbz.html
in den abgesicherten modus gehen, und alle einträge mit swizzor manuell löschen.
danach alle einträge mit Adaware manuell löschen.
danach mal dein antivirenscanner laufen lassen
Krepper und Lovescan müßten eigentlich erkannt und entfernt werden.
danach neu starten und ein HJT logfile posten
chaosman

Hallo alle zusammen,

von dem was mir chaosman mitgeteilt hat verstehe ich fast nur bahnhof.

Ich weiss zwar mittlerweile wie ich in den abgesicherten Modus komme und das ich die Systemwiederherstellung deaktivieren muss, aber wo finde ich die Einträge mit Swizzor? Wenn ich in den abgesicherten Modus gehe und dort mit der Suchfunktion arbeite, dann findet der Suchassistent nix.

Allerdings konnte ich die ganzen Dateien mit der Endung .exe finden und meine Frage ist kann ich nicht die ganzen exen löschen?

Die da wie folgt lauten:

BOLD ROAD:exe
Ooze Stupid.exe
Ping biuld.exe
uploadwindow.exe
Hole Defy.exe
Clock Sect.exe
dimkhgyc.exe
DvdDrawMeal.exe
For army builts multi.exe
jcrygwim.exe
plraxmjx.exe
yfxdohpc.exe

und den Rest siehe die Escan Auswertung die ich bereits zur Verfügung gestellt habe.

Sorry, aber ich habe absolut keinen Plan von solchen Dingen und habe mich bisher selbst versucht dadurch zu wurschteln, aber ich weiss echt nicht mehr weiter, denn wenn ich mit HJT im abgesicherten Modus gefixt habe, dann ist erst alles weg und dann beim nächsten Mal ist wieder alles da, wo es vorher war und deshalb wollte ich gerade alle möglichen genannten exen, die in der Auswertung angegeben sind, löschen und dann müsste doch Ruhe im Karton sein, oder?

Ich weiss, dass ich mal vor einigen Monaten ein Problem mit einer winimil.exe hatte und die habe ich wohl auch gelöscht bekommen, aber ich hab da keine Infos mehr darüber wie ich das gemacht habe und wo ich die Lösung aus dem Netz her hatte.

Für Eure Hilfe und Antworten danke ich Euch

Liebe Grüsse DKNS2212

achso. das allereinfachste ist es, einfach mit hijack this die einträge von swizzor zu entfernen.
die einträge mit swizzor sind in der registrierung und sind soweit ich weiß keine dateien. und diese dateien, da muss ich sagen ja die sollten schon gelöscht werden. sonst wird der wurm ja immer wieder kehren, wenn diese dateien drauf bleiben. so wie ich das sehe sind diese dateien die neuverbreiter und diese werden wenn ich mich nicht irre über einen registrierungseintrag in der registrierung gestartet. sind die dateien weg, sollte auch der wurm verschwinden.
ich sehe da aber noch ein problem.. nämlich die systemwiederherstellung.. wenn dort nicht alle würmer gelöscht werden können, ist es warscheinlich das die würmer von dort wieder kommen (der grund warum ich diese blöde systemwiederherstellung bei mir sogar ganz entfernt btw deaktiviert habe)
wenn das dann nicht mehr weiterhilft bin ich auch mit meinen latein am ende, dann würde wohl auch nur noch eine Neuinstallation helfen (außer es weiß jemand eine andere lösung)

Hallo alle zusammen,

Ich weiss echt nicht weiter, da ich bin in solchen Sachen nicht gerade sehr bewandert bin, bitte ich um Auswertung der Log's und um eine detaillierte und ausführliche Anweisung, wie ich hier vorgehen muss. Bitte um Beachtung, dass ich von all diesen Sachen null Plan habe.

Hier die Auswertung HJT:

Logfile of HijackThis v1.99.0
Scan saved at 12:20:07, on 31.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [BYTEBOWSSOAPBLAH] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\Ping build.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104310705983
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Und weil es so schön ist, hier noch mal der Log von Escan:

Escan am 29.12.2004 im normalen Modus und im abgesicherten Modus am 30.12.2004


File C:\WINDOWS\system32\TFTP3076 infected by "Worm.Win32.Lovesan.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\BOLD ROAD.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\Ooze Stupid.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\Ping build.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\uploadwindow.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\Safe wma option\Hole Defy.exe infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\Clock Sect.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\dimkhgyc.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\DvdDrawMeal.exe infected by "TrojanDownloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\For army bits multi.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\jcrygwim.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\plraxmjx.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\yfxdohpc.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F1F45635-447C-446E-86E0-6ABB1988BECA}\RP24\A0004175.exe tagged as not-a-virus:Porn-Dialer.Win32.Star. No Action Taken.
File C:\System Volume Information\_restore{F1F45635-447C-446E-86E0-6ABB1988BECA}\RP58\A0008935.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\TFTP3076 infected by "Worm.Win32.Lovesan.a" Virus. Action Taken: No Action Taken.
File D:\Downloads\hijackthis\backups\backup-20041229-095002-199.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File D:\Driver\VGA\V767_WHQL\Win 9x\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.
File D:\Driver\VGA\V767_WHQL\Win NT\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.


Für Eure Hilfe danke ich Euch und wünsche allen Usern einen guten Rutsch ins neue Jahr 2005.

Liebe Grüsse DKNS2212

Hallo,

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm, deaktiviere die Systemwiederherstellung und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
O4 - HKLM\..\Run: [BYTEBOWSSOAPBLAH] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\Ping build.exe

Danach
Windows Explorer (Win Taste+E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Navigiere nun zu diesem Ordner C:\Dokumente und Einstellungen\DH\Anwendungsdaten und lösche alle von eScan beanstandeten Dateien manuell, ebenso mit andere Dateien verfahren.
Alternative:
Killbox verwenden
richtige Pfadangabe der Malware Dateien kopieren (Strg+C)-> in Killbox einfügen (Strg+V) -> löschen

Zitat:

File D:\Driver\VGA\V767_WHQL\Win 9x\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.
File D:\Driver\VGA\V767_WHQL\Win NT\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.

Diese nicht löschen!

- neue Startseite vergeben
- Neustart
- Systemwiederherstellung bei Bedarf wieder aktivieren
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- nochmals mit eScan scannen
- neues Log-File von HijackThis und die Virus Log Information von eScan posten