Hallo, bin bei Google über diese Seite gestolpert, weil ich einen Trojaner habe, der sich nicht entfernen lässt. TR/Swicer.1 Ich habe meinen PC auch erst gestern neu gemacht deshalb verstehe ich nicht wie ich so schnell an einen Trojaner komme. Ist es möglich, dass ich den mit auf Cd gebrannt habe? Und wer kann mir helfen dass ich den beseitigt bekomme, weil der Trojaner noch recht unbekannt ist wie mir scheint.
Und im Taskmanager läuft auch auch die smss.exe und jede menge anderer dateien womit ich nichts anfangen kann
Thx Summer

[ 03. Januar 2004, 14:10: Beitrag editiert von: Summerwind1980 ]

Hallo Summerwind,

kann es sein, daß Du Dir ein Programm namens "Messenger Plus" installiert hast?

Folgendes hab ich gefunden: (ein paar Auszüge)

Zitat:
Chris installed messenger plus the other night and found out that if he did the automatic installation spyware/adware would be installed. In my mind there are two types of spyware/adware and they're not even categorized by the way they work. I separate them by the company policy, spyware/adware is bad when the company DOESN'T tell you they're installing it. This, unfortunately, is the case with most spyware/adware and its why its hated so often. If you run AVG and use the automatic installation for Messenger Plus AVG will tell you that there's a dropper.swicer.a trojan. After doing multiple searches, I couldn't find much information on the trojan except that it was associated with Messenger Plus.

http://www.danieltse.com/weblog/2003_11_23_old2.html

Weiters:
http://download.com.com/3302-2150_4-...html?pn=2&fb=0

Zitat:
Since I installed Messenger Plus! on my computer I noticed advertisement programs, why?
back to top

Messenger Plus! now comes with an optional sponsor program. This program will show ads from time to time on your computer and will change your start page in Internet Explorer. In NO case this sponsor is mandatory. If you don't want it, simply uncheck the sponsor box during setup. If you installed it be error, just uninstall Messenger Plus! (which will trigger the sponsor uninstall program) and reinstall without the sponsor.

Important: if you wish to get rid of the sponsor program, you must uninstall Messenger Plus! from the usual Add/Remove program window. Don't worry, you'll be able to reinstall it later and chose not to install the sponsor anymore. If you start deleting files on your own you will prevent a full system restore as some of the files copied by the sponsor are backups of your original configuration files. For detailed instructions, check out special posts on the forum.

http://www.msgplus.net/index.php?vie...pand=2#install

Spezieller Forumseintrag
Ob man dem glauben kann, oder nicht

Solltest Du den "Messenger Plus" nicht installiert haben, oder es sich um einen anderen Schädling handelt....tja.
Ich hab einfach nach "swicer" gesucht [img]graemlins/crazy.gif[/img]
http://www.google.at/search?q=swicer...8&start=0&sa=N

Gruß
Schlumpfi

Msn Plus hab ich, aber auch erst seit gestern, weil ich format C: hinter mir hab. Und seitdem habe ich noch keine emails mit anhang bekommen (und die ich nicht kenne öffne ich eh nicht) hmmm.. also msn plus wieder deinstallieren, wenn ich das recht verstanden hab?

Hallo!

Wo genau wird denn der Trojaner gemeldet (Datei/Ordner)?

Überprüfe die Datei bitte einmal zusätzlich hier:
http://www.kaspersky.com/de/remoteviruschk.html

Ggf. erstelle ein HijackThis Logfile, dann sollte man mehr sehen können.

[ 03. Januar 2004, 18:50: Beitrag editiert von: mmk ]

</font><blockquote>Zitat:</font><hr />Original erstellt von Summerwind1980:
Ist es möglich, dass ich den mit auf Cd gebrannt habe?</font>[/QUOTE]Moin,

ja, das ist gut möglich und in nach Deinen Beschreibungen ziemlich wahrscheinlich.
Wie hast Du denn Dein System neu aufgesetzt? Mit einem Image oder komplett neu?

</font><blockquote>Zitat:</font><hr />Und im Taskmanager läuft auch auch die smss.exe und jede menge anderer dateien womit ich nichts anfangen kann</font>[/QUOTE]Die smss.exe ist kein Virus, sondern eine Systemdatei!! Zu den anderen Prozessen die Dir unbekannt sind, empfehle ich auch Dir mal einen Scan mit HijackThis. Das Ergebnis (die Log-Datei) kannst Du hierhin kopieren und wir schauen uns das mal an.

Die Frage von mmk möchte ich gerne noch ergänzen um wer (also welches Programm) meldet Dir den Trojaner?!

tschööö, DerBilk

Logfile of HijackThis v1.97.7
Scan saved at 19:18:45, on 03.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Messenger Plus! 2\MsgPlus.exe
C:\PROGRA~2\AUTOUP~1\AUTOUP~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Yvonne\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CYB94ZI4\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.knuddels.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
O2 - BHO: (no name) - {ff9a639f-2ce4-4d25-9420-e9d188b57478} - C:\DOKUME~1\Yvonne\ANWEND~1\lombreedri.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ouststtgoad - {d69857f7-71ea-4bff-98b3-9911c9ad03cf} - C:\DOKUME~1\Yvonne\ANWEND~1\lombreedri.dll
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [zeedro] C:\DOKUME~1\Yvonne\ANWEND~1\glbllous.exe -QuieT
O4 - HKLM\..\Run: [AutoUpdater] C:\PROGRA~2\AUTOUP~1\AUTOUP~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\Dokumente und Einstellungen\Yvonne\Anwendungsdaten\apropos.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.trojanscan.com/trojanscan/TDECntrl.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...989.2580902778
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{79FC1097-F903-4603-920F-AEC93B265B7B}: NameServer = 212.185.248.180 194.25.2.129

Außerdem befindet sich der Trojaner immer woanders... der wandert... wurd gelöscht, taucht aber kurze zeit später woanders wieder auf...

03.01.2004,18:49 [WARNUNG] Ist das Trojanische Pferd TR/Swicer.2!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{6DC56662-22E5-4294-91D3-BF2D1E411F03}\RP6\A0002709.EXE

Edit: Hast du die Datei glbllous.exe schon mit dem genannten Online-Check geprüft? Bitte erstmal machen!


Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

-&gt;&gt; Das System ist ungepatcht! Dringend nachholen.

Das Folgende Löschen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
O2 - BHO: (no name) - {ff9a639f-2ce4-4d25-9420-e9d188b57478} - C:\DOKUME~1\Yvonne\ANWEND~1\lombreedri.dll
O3 - Toolbar: ouststtgoad - {d69857f7-71ea-4bff-98b3-9911c9ad03cf} - C:\DOKUME~1\Yvonne\ANWEND~1\lombreedri.dll
O4 - HKLM\..\Run: [zeedro] C:\DOKUME~1\Yvonne\ANWEND~1\glbllous.exe -QuieT

Prüfe die Datei hinter diesem Eintrag:

O4 - HKLM\..\Run: [AutoUpdater] C:\PROGRA~2\AUTOUP~1\AUTOUP~1.EXE

O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\Dokumente und Einstellungen\Yvonne\Anwendungsdaten\apropos.exe"


</font><blockquote>Zitat:</font><hr />Außerdem befindet sich der Trojaner immer woanders... der wandert... wurd gelöscht, taucht aber kurze zeit später woanders wieder auf...</font>[/QUOTE]Nein, die letzte Meldung besagt nur, dass sich eine Kopie in der Systemwiederherstellung befindet.

O4 - HKLM\..\Run: [AutoUpdater] C:\PROGRA~2\AUTOUP~1\AUTOUP~1.EXE

O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\Dokumente und Einstellungen\Yvonne\Anwendungsdaten\apropos.exe"

habe ich mit norton überprüft und nix gefunden. was sind das für dateien?

Bei den letzten beiden vermute ich Adware.
Edit: Der erste ist ein Hijacker:
http://www.pestpatrol.com/PestInfo/p/peopleonpage.asp

Der zweite auch / dazugehörend:
http://www.doxdesk.com/parasite/AproposMedia.html
http://www.pestpatrol.com/PestInfo/p...roposmedia.asp

Tipp: Browserwechsel!


Bitte nicht mit Norton prüfen, sondern hier (die besagte glbllous.exe):

http://www.kaspersky.com/de/remoteviruschk.html

[ 03. Januar 2004, 19:49: Beitrag editiert von: mmk ]

Zu überprüfende Datei: AutoUpdate.exe
AutoUpdate.exe Ok

Zu überprüfende Datei: libexpat.dll
libexpat.dll Ok





Zu überprüfende Datei: apropos.exe

apropos.exe Infiziert: TrojanDownloader.Win32.Apropo

Statistiken:

--------------------------------------------------------------------------------
Bekannte Viren: 80303 Updated: 3.01.2004
Größe der Datei (Kb): 68 Scan-Zeit: 00:00:01
Geschwindigkeit (Kb/sek): 69 Viren-Bodies: 1
Archive: 0 Komprimiert: 0
Verzeichnisse: 0 Datei: 1
Verdächtigt: 0 Warnungen: 0

diese glbllous.exe is schon gelöscht

OK, alle löschen (auch die beiden, die als "nicht infiziert" angezeigt wurden - sie sind Adware, und in den normalen Signaturen nicht erfasst, wenn überhaupt).

Wenn alles gelöscht ist, deaktiviere die Systemwiederherstellung in Windows (!), starte den PC neu. Prüfe nun mit HijackThis noch einmal nach, ob alle genannten Einträge / Dateien entfernt wurden. Falls ja:

Reaktiviere die Systemwiederherstellung und starte den PC abermals neu.

Bedenke, dass dein System mit mind. einem Trojaner kompromittiert war. Das heißt mindestens Zugangsdaten / Passwörter ändern bzw. um ganz sicher zu gehen, das System neu aufzustzen. Vorher formatieren und dann keine ausführbaren Dateien aus dem verseuchten System (von der CD) zurückspielen.

Das heißt zukünftig ferner, eine sinnvolle Systemkonfiguration vorzunehmen ( http://www.ntsvcfg.de ), das System stets upzudaten und möglichst auf den IE und Outlook zu verzichten.

Wichtig!: Die auf http://www.ntsvcfg.de beschriebenen Maßnahmen müssen durchgeführt werden, bevor du mit dem frisch aufgesetzten System das erste Mal ins Netz gehst. Des weiteren sind weder AntiVir noch Norton AV empfehlenswerte Virenscanner, wenn es um die Erkennungsleistung geht.

System kann ich nicht updaten, auch keine servicepacks...
hab ansonsten alles gemacht und jetzt auch eine Firewall von Zonealarm drauf. also die genannten dateien sind weg. jetzt muss ich nur gucken, welche dateien von meiner cd (wenn es von cd ist) infiziert sind. hab ja erst format C: gemacht deshalb wundert mich dass ich schon nen troja hab...

</font><blockquote>Zitat:</font><hr />Original erstellt von Summerwind1980:
System kann ich nicht updaten, auch keine servicepacks...</font>[/QUOTE]Warum nicht?

</font><blockquote>Zitat:</font><hr />hab ansonsten alles gemacht und jetzt auch eine Firewall von Zonealarm drauf.</font>[/QUOTE]Scheinsicherheit. Ineffizient. Nicht empfehlenswert.

</font><blockquote>Zitat:</font><hr />jetzt muss ich nur gucken, welche dateien von meiner cd (wenn es von cd ist) infiziert sind. hab ja erst format C: gemacht deshalb wundert mich dass ich schon nen troja hab...</font>[/QUOTE]Befinden sich denn ausführbare Dateien auf der CD (Programme, etc.)? Scanne diese CD mal mit aktuellem Kaspersky. Wenn auch nur eine ausführbare Datei als Malware erkannt wird (und das sollte ja der Fall sein, wenn genau dieser Trojaner auch von der CD kam), dann solltest du KEINE der auf der CD befindlichen Programme mehr installieren.

servicepack versucht zu installieren, sagt geht nicht weil der key ungültig ist...

und klar sind auf der cd proggis, hab ja alles gesichert vor meinem Format C: muss den gestern um 19.41 erstellt haben aber woher soll ich wissen was ich um die uhrzeit gemacht hab... [img]graemlins/heulen.gif[/img]

hast du eine originalversion, oder ne raubkopie am laufen?

[img]graemlins/teufel3.gif[/img]