Trojan Downloader Win32.Swizzor.af, Adware Lop, Dialer (?)

cooloola · 21.02.2005, 01:56

Hallo an alle,

ich hatte in der Hektik versehentlich nicht den Rat der Firewall befolgt und ein ein paar Zugriffe erlaubt.
Unmittelbar danach prangten zwei Spiele auf dem Desktop und ein Popup-Fenster forderte mich auf Zahlen nachzutippen. Hab ich natürlich nicht gemacht.
Die Startseite vom IE war geändert.
Adaware zeigte mir an, dass ich malware eingefangen hatte, konnte aber die entsprechenden exe- Dateien nicht beseitigen, konnten auch nicht per Hand gelöscht werden.
War wohl diletantisch von mir die exe - Dateien mit killbox versuchen zu löschen.
Mit einem Virenscanner fand und killte ich Mydoom.gen und Exploit.

Jetziger Stand:
Auf dem IE(den ich kaum benutze) zeigt sich zwar wieder "meine" Startseite, per HijackThis hatte ich sie gefixt, sie taucht aber wieder im hijack-log auf.
Die im escan aufgetauchten Trojan Downloader Win32.Swizzor.af, Adware Lop und anderes lassen sich mit keinem Programm beseitigen.
Mit HijackThis habe ich mich jedoch bisher nur getraut die Startseite zu fixen.
Adaware findet immer wieder cookies als "data miner" bezeichnet.
Ansonsten läuft der Rechner problemlos.
Ich bin eigentlich nur um die Sicherheit besorgt.

escan

Code:

ATTFilter

 1.)File C:\WINDOWS\APPLIC~1\README~1\FIRSTR~1.EXE infected by "not-a-virus:AdWare.Lop.k" Virus. 
 2.)File C:\temp\_is91D5\LimeWire 2.3.4.msi infected by "not-a-virus:AdWare.Cydoor" Virus.
 3.)File C:\Programme\IncrediMail\Data\Identities\{6C821B60-6693-11D6-83DD-ED19DBE2A436}\Message Store\Jan2.imm infected by "not-virus:Joke.Win32.FakeFormat.105" Virus. 
 4.)File C:\Programme\C2Media\Setup.exe infected by "Trojan-Downloader.Win32.Swizzor.af" Virus
 5.)File C:\temp\njjudloa.exe infected by "not-a-virus:AdWare.Lop.k" Virus.
 6.)File C:\!Submit\Rem22A3.exe infected by "Trojan-Downloader.Win32.Swizzor.av" Virus.
 7.) File C:\!Submit\fbieceiy.exe infected by "not-a-virus:AdWare.Lop.k" Virus.
 8.)File C:\!Submit\yxpmfezf.exe infected by "not-a-virus:AdWare.Lop.k" Virus.
 9.)File D:\Eigene Dateien\Downloads\00001Vocabulary.exe infected by "not-a-virus:AdWare.Cydoor" Virus
10.)File D:\Eigene Dateien\Spass\surprise_2.exe infected by "not-virus:Joke.Win32.FakeFormat.105" Virus.

Sind die "tagged as a virus" befallenen files auch relevant?
Davon habe ich einige, z.B.:
File C:\WINDOWS\hcd-10328.exe tagged as not-a-virus:RiskWare.Dialer.gen.

hijackthis-scan:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 21:24:13, on 20.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE
C:\PROGRAMME\MESSENGERPLUS! 3\MSGPLUS.EXE
C:\PROGRAMME\NORTON PERSONAL FIREWALL\NISSERV.EXE
C:\PROGRAMME\NORTON PERSONAL FIREWALL\IAMAPP.EXE
C:\PROGRAMME\NORTON PERSONAL FIREWALL\NISUM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\DUAL WHEEL MOUSE\4DMAIN.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\UNITED DEVICES\UD.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\AT-AR215\AT-AR215 USB ADSL WAN ADAPTER\DSLMON.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE
C:\Programme\Norton SystemWorks\Norton CleanSweep\Monwow.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\UNITED DEVICES\UD_7174683.EXE
C:\PROGRAMME\UNITED DEVICES\UD_7174683_0.DIR\UD_LIGFIT_RELEASE.EXE
C:\PROGRAMME\INCREDIMAIL\BIN\IMAPP.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
C:\UNZIPPED\FIREFOX-0.8-DE-DE\FIREFOX\FIREFOX.EXE
C:\PROGRAMME\INCREDIMAIL\BIN\INCMAIL.EXE
C:\PROGRAMME\INCREDIMAIL\BIN\IMNOTFY.EXE
C:\PROGRAMME\WINAMP\WINAMP.EXE
C:\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.edncngbmjfr.net/U6OhAAf69XxQYcyJpED3PT4DxWvCpAe2EqSsxzOKdko3gsfhm4Mkdty8DNmf01xS.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.nexgo.de/arcor/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor Nexgo
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [CSOTrayIcon] "C:\Programme\CompuServeOffice\CompuServeOffice Starterkit 1.0\CSOTrayIcon.exe"
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\Dual Wheel Mouse\4DMAIN.EXE -startup
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [litestop] C:\WINDOWS\APPLIC~1\README~1\First Rdr Coal.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: UD Agent.lnk = C:\Programme\United Devices\UD.EXE
O4 - Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINSM32.EXE
O4 - User Startup: UD Agent.lnk = C:\Programme\United Devices\UD.EXE
O4 - User Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
O4 - User Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINSM32.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\COMPANION\MODULES\MESSMOD\V2\YHEX_O2.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\COMPANION\MODULES\MESSMOD\V2\YHEX_O2.DLL
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=www.nexgo.de/arcor/
O16 - DPF: {B8F2846E-CE36-11D0-AC83-00C04FD97575} (Lernout & Hauspie TruVoice American English TTS Engine) - http://www.talkingbuddy.com/files/tv_enua.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {05FDA544-67C6-4772-AE4B-681BAC6DF552} (Chat_m4a Control) - http://www.vc-webdesign.com/chatsteuerung/Chat_m4a.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Die Auswertung hier<<<klick

Merkwürdig finde ich, dass in der Auswertung angegeben wird dass keine Firewall gefunden wurde, obwohl ich Norton installiert und aktiviert habe.

Kann mir bitte jemand sagen wie ich das Zeug wieder los werde und wie es um die Sicherheit derzeit bestellt ist (z.B. onlinebanking) ?
Ich habe hier gelesen dass man zu fixen der Files die Systemwiederherstellung
deaktivieren muss, das scheint aber bei Windows 98 nicht möglich zu sein.

Ich bedanke mich schon mal im voraus für eure Hilfe
cooloola

Rene-gad · 21.02.2005, 12:17

@cooloola

Zitat:

Merkwürdig finde ich, dass in der Auswertung angegeben wird dass keine Firewall gefunden wurde

Was soll das sein:

Zitat:

C:\PROGRAMME\NORTON PERSONAL FIREWALL\NISSERV.EXE
C:\PROGRAMME\NORTON PERSONAL FIREWALL\IAMAPP.EXE
C:\PROGRAMME\NORTON PERSONAL FIREWALL\NISUM.EXE

Das Andere ist aber für mich merkwürdig:

Zitat:

MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

?????

Zitat:

Kann mir bitte jemand sagen wie ich das Zeug wieder los werde

http://trojaner-info.de/hijacker/escan.shtml

cooloola · 21.02.2005, 18:13

Hallo Rene-gad,

danke für deine schnelle Antwort.
Ich habe sehr wohl gesehen, dass HijackThis in der Auswertung bei den Programmen Norton angezeigt hat. Dennoch bekam ich unter der Auswertung bevor ich abgespeichert habe einen Balken angezeigt, in dem gesagt wurde dass er keine firewall entdeckt hat.

Was meinst du mit dem IE? Dass er veraltet ist, oder ist da noch etwas?
Werde den 6er installieren.

Als Rat gibts du mir escan durchzuführen, das habe ich gemacht, siehe 1. Posting.
Ich weiss nicht ob deine ????? bedeuten dass du nicht weisst was ich loswerden möchte? Nun das was im escan gefunden wurde, nicht als harmlos einzustufen ist und mit anderen Programmen nicht wegzubekommen ist.
Deswegen habe ich mich ja an das Forum gewandt, weil ich selbst nicht weiter weiss.
Würde mich freuen wenn du oder jemand anderer mir weiterhelfen könnte.

Gruss cooloola

Rene-gad · 21.02.2005, 19:00

@cooloola

Zitat:

Was meinst du mit dem IE? Dass er veraltet ist, oder ist da noch etwas?

Nicht einfach "veraltet", sondern extra veraltet.

Zitat:

Ich weiss nicht ob deine ????? bedeuten dass du nicht weisst was ich loswerden möchte?

IE5.5 musst du los werden

! Es gibt viele Altenativbrowser.

Zitat:

Nun das was im escan gefunden wurde, nicht als harmlos einzustufen ist und mit anderen Programmen nicht wegzubekommen ist.

gegen alle Plagen hilft schnell und sicher nur die Format c:\ und darauf folgende Neuinstallation.
Das würde ich auch dir empfehlen, falls das Fixen/Stoppen nix bringt.

cooloola · 21.02.2005, 21:20

@ Rene-gad, halllo und danke für deine Antwort.

Zitat:

gegen alle Plagen hilft schnell und sicher nur die Format c:\ und darauf folgende Neuinstallation.
Das würde ich auch dir empfehlen, falls das Fixen/Stoppen nix bringt.

Wegen dem fixen poste ich ja hier, weil ich nicht weiss welche Schritte ich dazu unternehmen kann, bin absoluter Neuling auf diesem Gebiet.
Manches in dem escan scheinen harmlose Jokeviren zu sein, während Trojan Downloader Win32.Swizzor.af, Adware Lop von den Virenscannern als Viren bezeichnet werden.

Kann jemand bitte mein hijackthis-log und escan durchsehen und eine Einschätzung geben bzw. mir den nächsten Schriitt zum fixen nennen? (IE wird aktualisiert, wenn ich weiss ob ich neu formatieren muss oder nicht)
Wie schon erwähnt, habe ich mit HijackThis nur die Startseite gefixt, die dann wieder auftauchte und mit Antivirenprogrammen + adaware + spybot versucht die Viren zu eliminieren.

Gruss cooloola

Rene-gad · 21.02.2005, 22:36

@cooloola

Zitat:

Wegen dem fixen poste ich ja hier, weil ich nicht weiss welche Schritte ich dazu unternehmen kann, bin absoluter Neuling auf diesem Gebiet.

Zum

Zitat:

Fixen

muss man in HJT-Scan-Fenster gegen in der Auswertung als Böse angezeigte Einträge ei Haken in Kästchen setzen und dann auf Schaltfläche Fix Checked klicken.

Zitat:

Manches in dem escan scheinen harmlose Jokeviren zu sein, während Trojan Downloader Win32.Swizzor.af, Adware Lop von den Virenscannern als Viren bezeichnet werden.

Wie harmlos oder gefährlich diese oder jene Malware ist, kann auf dem User-Niveau kaum entschieden werden. Lese mal, nur Spaßes halber, diesen Thread durch: http://www.trojaner-board.com/showthread.php?t=12784

Zitat:

Wie schon erwähnt, habe ich mit HijackThis nur die Startseite gefixt, die dann wieder auftauchte und mit Antivirenprogrammen + adaware + spybot versucht die Viren zu eliminieren.

Es heißt: Fixen hat nur die Folge eliminiert, aber nicht die Ursache, die auch aus dem Log nicht eindeuteig zu erkennnen ist. Dazu empfehle ich dir diese Seite: http://faq.underflow.de/

Trojan Downloader Win32.Swizzor.af, Adware Lop, Dialer (?)

Plagegeister aller Art und deren Bekämpfung: Trojan Downloader Win32.Swizzor.af, Adware Lop, Dialer (?)