|
Log-Analyse und Auswertung: Swizzor.A (Dart Kind Grey)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.04.2006, 10:05 | #1 |
| Swizzor.A (Dart Kind Grey) Hallo zusammen habe mir denn swizzor.a (Dart Kind Grey) eingefangen und bringe in einfach nicht vom Rechner. Besten Dank für eure Hilfe Logfile of HijackThis v1.99.1 Scan saved at 11:03:12, on 13.4.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\ATKKBService.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe C:\WINNT\explorer.exe C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINNT\system32\rundll32.exe C:\WINNT\system32\RUNDLL32.EXE c:\progra~1\intern~1\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINNT\system32\fxssvc.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINNT\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\yk\Lokale Einstellungen\Temp\HijackThis.exe R3 - Default URLSearchHook is missing F2 - REG:system.ini: Shell=explorer.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MSConfig] C:\WINNT\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ProxyRoam] C:\DOKUME~1\yk\ANWEND~1\MFCDRE~1\Dart Grey Kind.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144051973744 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {ED28050F-D713-43BA-A376-DCC5C35407D5} (MsnMusicAx Class) - http://entimg.msn.com/client/msnmusax2729.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Intec.local O17 - HKLM\Software\..\Telephony: DomainName = Intec.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Intec.local O20 - AppInit_DLLs: MsgPlusLoader.dll O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINNT\ATKKBService.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe Dienst Datei: Dart_Grey_Kind.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH.UPC, UPC AntiVir Trojan/Swizzor.A gefunden ArcaVir Keine Viren gefunden Avast Win32:Swizzor-gen gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Swizzor gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Swizzor.co gefunden NOD32 a variant of Win32/TrojanDownloader.Swizzor gefunden Norman Virus Control Swizzor.HD gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Dank und Gruss mou-k |
13.04.2006, 12:12 | #2 |
| Swizzor.A (Dart Kind Grey) Hallo mou-k,
__________________erstelle bitte für HijackThis einen eigenen Ordner und nicht in einem Temp-Ordner entpacken. Deinstalliere über Systemsteuerung/Software --> MessengerPlus, der absolut nichts mit dem Messenger von Microsoft zu tun hat. Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häkchen vor Eintrag und auf fix checked klicken): R3 - Default URLSearchHook is missing F2 - REG:system.ini: Shell=explorer.exe O4 - HKCU\..\Run: [ProxyRoam] C:\DOKUME~1\yk\ANWEND~1\MFCDRE~1\Dart Grey Kind.exe O20 - AppInit_DLLs: MsgPlusLoader.dll Lösche manuell folgende Ordner: C:\DOKUME~1\yk\ANWEND~1\MFCDRE~1 C:\Programme\MessengerPlus! 3 Papierkorb leeren Neustart -> Systemwiederherstellung kann wieder aktiviert werden dartus
__________________ |
18.04.2006, 12:17 | #3 |
| Swizzor.A (Dart Kind Grey) Besten Dank für die schnelle Hilfe
__________________Gruss mou-k |
Themen zu Swizzor.A (Dart Kind Grey) |
100%, antivir, antivirus, appinit_dlls, askbar, asus, avgnt, avgnt.exe, avira, computer, defender, dll, drivers, einstellungen, excel, explorer, hijack, hijackthis, internet, internet explorer, keine viren, microsoft, nvidia, programme, rundll, software, system, temp, urlsearchhook, viren, windows, windows xp |