|
Plagegeister aller Art und deren Bekämpfung: Soproc / TR Swizzor GF, die 2teWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.08.2005, 19:08 | #1 |
| Soproc / TR Swizzor GF, die 2te Antivir zeigt mir beim scan einen Trojaner TR/Swizzor GF an. > Löschen "ja". Scheint aber nichts zu nützen. Ad-aware zeigt ihn mir auch an. Unter "Suchen" hab ich dann mal die geänderten Dateien innerhalb des letzten Monats rausgelassen. Dort erscheint eine Anwendung unter dem Namen "soproc". Festplatte ist innerhalb kürzester Zeit trotz Löschen div. Dateien annähernd zu. Internet Explorer öffnet nur noch so eine "komische" google Seite. Benutze diesen PC innerhalb eines Netzwerks mit Router und Hardware - Firewall sowie Zone-Labs (Software). Antivir dient als Virenschutz. Betriebssystem ist win 98 SE. Vielleicht kann mir Laien noch jemand helfen ? Logfile of HijackThis v1.99.1 Scan saved at 13:54:53, on 16.08.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS.000\SYSTEM\MSTASK.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS.000\EXPLORER.EXE C:\WINDOWS.000\TASKMON.EXE C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\PROGRAMME\CREATIVE\SHARED FILES\CAMTRAY.EXE C:\WINDOWS.000\SYSTEM\STIMON.EXE C:\WINDOWS.000\LOADQM.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS.000\SYSTEM\QTTASK.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\SOFTWAREONLINE\SOPROC.EXE C:\PROGRAMME\SOFTWAREONLINE\SOPROC.EXE C:\WINDOWS.000\SYSTEM\WMIEXE.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS.000\SYSTEM\DDHELP.EXE E:\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ctpqbkvatts.com/7aNpfBIdF...Y3fzPDQcM.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL (file missing) O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing) O2 - BHO: (no name) - {1D717626-D0B4-C1B7-C867-3F617D449262} - C:\WINDOWS.000\ANWENDUNGSDATEN\ITCH DATA\SHOW META.EXE O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\PROGRAMME\SHOPPERREPORTS\BIN\1.0.5.0\SHPRRPRT.DLL O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL (file missing) O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\BALLY4D.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS.000\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS.000\p_981116.exe /Q:A O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [WhenUSearchWHSE] C:\PROGRA~1\WHENUS~1\whse.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Windows AdControl] C:\PROGRAM FILES\WINDOWS ADCONTROL\WINADCTL.EXE O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [MailDashMoreSlow] C:\WINDOWS.000\Anwendungsdaten\datatitlemaildash\typeaxis.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS.000\SYSTEM\mstask.exe O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKCU\..\Run: [one curb] C:\WINDOWS.000\ANWEND~1\HEARTT~1\Supporttransblah.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [SOProc_RegSoAlertAjWx1Nn] C:\PROGRAMME\SOFTWAREONLINE\SOPROC.EXE -pack RegSoAlertAjWx1Nn O4 - HKCU\..\Run: [SOProc_RegSoAlertWxSzNn] C:\PROGRAMME\SOFTWAREONLINE\SOPROC.EXE -pack RegSoAlertWxSzNn O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\PROGRAMME\SHOPPERREPORTS\BIN\1.0.5.0\SHPRRPRT.DLL O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\PROGRAMME\SHOPPERREPORTS\BIN\1.0.5.0\SHPRRPRT.DLL O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...e3bba631960d34 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...p1.0.0.8-2.cab O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/...ms/hbtools.cab O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.sharewareonline.com/...er/Install.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.2.129 Für Hilfe immer dankbar Bernd |
17.08.2005, 22:47 | #2 |
| Soproc / TR Swizzor GF, die 2te Hallo 77ereintopf,
__________________lass zunächst folgende Datei: C:\PROGRAMME\SOFTWAREONLINE\SOPROC.EXE hier online scannen: http://virusscan.jotti.org/de Teile bitte das Ergebnis mit, danach geht es weiter. dartus
__________________ |
17.08.2005, 23:02 | #3 |
| Soproc / TR Swizzor GF, die 2te @77ereintopf
__________________Editiere bitte alle aktiven Links! Wenn du dich fragst waurm: z.B.: O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - h**p://installs.hotbar.com/installs...ams/hbtools.cab Dürfte für unbedarfte IE-User gefährlich werden. -> Antivirus Version Update Result AntiVir 6.31.1.0 08.17.2005 no virus found Avast 4.6.695.0 08.17.2005 no virus found AVG 718 08.17.2005 no virus found Avira 6.31.1.0 08.17.2005 no virus found BitDefender 7.0 08.17.2005 no virus found CAT-QuickHeal 7.03 08.17.2005 no virus found ClamAV devel-20050725 08.17.2005 no virus found DrWeb 4.32b 08.17.2005 no virus found eTrust-Iris 7.1.194.0 08.17.2005 no virus found eTrust-Vet 11.9.1.0 08.17.2005 no virus found Fortinet 2.41.0.0 08.17.2005 no virus found F-Prot 3.16c 08.17.2005 no virus found Ikarus 0.2.59.0 08.17.2005 no virus found Kaspersky 4.0.2.24 08.17.2005 no virus found McAfee 4561 08.17.2005 potentially unwanted program Adware-HotBar NOD32v2 1.1196 08.17.2005 no virus found Norman 5.70.10 08.17.2005 no virus found Panda 8.02.00 08.17.2005 no virus found Sophos 3.96.0 08.17.2005 no virus found Sybari 7.5.1314 08.17.2005 no virus found Symantec 8.0 08.17.2005 no virus found TheHacker 5.8.2.090 08.17.2005 no virus found VBA32 3.10.4 08.17.2005 suspected of Adware.NewDotNet.3 Da stimme ich der Heuristik vollkommen zu. Geändert von Haui45 (17.08.2005 um 23:21 Uhr) |
19.08.2005, 08:18 | #4 | |
| Soproc / TR Swizzor GF, die 2te Hallo Dartus Zitat:
Bernd |
Themen zu Soproc / TR Swizzor GF, die 2te |
ad-aware, adobe, antivir, bho, compare, explorer, festplatte, firewall, google, helfen, hijack, hijackthis, icqtoolbar, internet, internet explorer, löschen, programme, registry, router, rundll, scan, seiten, software, swizzor, trojaner, urlsearchhook, windows, öffnet |