Mal wieder Swizzor.A - Bitte um Hilfe!

MeikeG · 17.04.2006, 20:03

Hallo!
Ich weiß, dass schon viele Lösungswege gepostet worden sind, wie man den Trojaner löschen kann. Ich kenne mich allerdings nicht so gut aus. Deshalb wäre es nett, wenn sich jemand mein Log ansehen und es auswerten würde.
Liebe Grüße
Meike

Logfile of HijackThis v1.99.1
Scan saved at 20:53:30, on 17.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Dokumente und Einstellungen\Micki\Desktop\Downloads Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {E8D33678-DFF3-BB5E-726E-00E4438082E1} - C:\DOKUME~1\Micki\ANWEND~1\MANAGE~1\stopsave.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [COOL POP TONS COMP] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\less bind cool pop\MPEG DART.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Part Bore] C:\DOKUME~1\Micki\ANWEND~1\STARTV~1\bowsbias.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

cosinus · 17.04.2006, 20:12

Zitat:

C:\Programme\Internet Explorer\iexplore.exe

Am besten in Zukunft einen sichereren Browser benutzen, sowas wie Firefox oder Opera

. Den IE bestenfalls fürs Windowsupdate benutzen.

Zitat:

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

Kannste fixen.

Zitat:

C:\DOKUME~1\Micki\ANWEND~1\MANAGE~1\stopsave.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\less bind cool pop\MPEG DART.exe
C:\DOKUME~1\Micki\ANWEND~1\STARTV~1\bowsbias.exe

Diese Dateien bitte bei Virustotal auswerten lassen und Ergebnisse posten.

cosinus · 17.04.2006, 20:16

Zitat:

Ich weiß, dass schon viele Lösungswege gepostet worden sind, wie man den Trojaner löschen kann. Ich kenne mich allerdings nicht so gut aus. Deshalb wäre es nett, wenn sich jemand mein Log ansehen und es auswerten würde.

Hast Du denn schon diese Anleitung gesehen?
Leider birgt das manuelle Bereinigen _immer_ das Risiko, dass nicht jeder Schädling gefunden und entfernt wird.

MeikeG · 18.04.2006, 19:17

Hallo Cosinus,
danke für Deine Amtwort! Ich habe diese Antwort auch schon gesehen. Leider weiß ich nicht, wie ich mir den Trojaner eingefangen habe..
LG MEIKE

MeikeG · 18.04.2006, 19:22

hallo cosinus,
ich benutze übrigens firefox zum serven. trotzdem taucht der ie auf. ist er irgendwie versteckt aktiv?
lg meike

MeikeG · 18.04.2006, 19:33

hier die ergebnisse von virustotal:

Results of a file scan
This is a report processed by VirusTotal on 04/18/2006 at 20:25:30 (CET) after scanning the file "MPEG_DART.exe" file.
Antivirus Version Update Result
AntiVir 6.34.0.24 04.18.2006 ADSPY/Lop.ad.24
Avast 4.6.695.0 04.18.2006 Win32:Swizzor-gen
AVG 386 04.18.2006 no virus found
Avira 6.34.0.56 04.18.2006 ADSPY/Lop.ad.24
BitDefender 7.2 04.18.2006 no virus found
CAT-QuickHeal 8.00 04.18.2006 (Suspicious) - DNAScan
ClamAV devel-20060202 04.18.2006 no virus found
DrWeb 4.33 04.18.2006 Trojan.Swizzor
eTrust-InoculateIT 23.71.132 04.18.2006 no virus found
eTrust-Vet 12.4.2165 04.18.2006 no virus found
Ewido 3.5 04.18.2006 no virus found
Fortinet 2.71.0.0 04.18.2006 suspicious
F-Prot 3.16c 04.18.2006 no virus found
Ikarus 0.2.59.0 04.18.2006 AdWare.Lop.AG
Kaspersky 4.0.2.24 04.18.2006 not-a-virus:AdWare.Win32.Lop.z
McAfee 4743 04.18.2006 no virus found
NOD32v2 1.1494 04.18.2006 a variant of Win32/TrojanDownloader.Swizzor
Norman 5.90.15 04.18.2006 Swizzor.gen
Panda 9.0.0.4 04.18.2006 Adware/Lop
Sophos 4.04.0 04.18.2006 no virus found
Symantec 8.0 04.18.2006 no virus found
TheHacker 5.9.7.130 04.16.2006 no virus found
UNA 1.83 04.18.2006 Adware.Lop
VBA32 3.10.5 04.18.2006 no virus fo und

This is a report processed by VirusTotal on 04/18/2006 at 20:28:50 (CET) after scanning the file "stopsave.exe" file.
Antivirus Version Update Result
AntiVir 6.34.0.24 04.18.2006 TR/Dldr.Swizzor.BO.138
Avast 4.6.695.0 04.18.2006 Win32:Swizzor-gen
AVG 386 04.18.2006 no virus found
Avira 6.34.0.56 04.18.2006 TR/Dldr.Swizzor.BO.138
BitDefender 7.2 04.18.2006 no virus found
CAT-QuickHeal 8.00 04.18.2006 no virus found
ClamAV devel-20060202 04.18.2006 no virus found
DrWeb 4.33 04.18.2006 Trojan.Swizzor
eTrust-InoculateIT 23.71.132 04.18.2006 no virus found
eTrust-Vet 12.4.2165 04.18.2006 no virus found
Ewido 3.5 04.18.2006 no virus found
Fortine t 2.71.0.0 04.18.2006 suspicious
F-Prot 3.16c 04.18.2006 security risk named W32/Swizzor.DE@dl
Ikarus 0.2.59.0 04.18.2006 no virus found
Kaspersky 4.0.2.24 04.18.2006 Trojan-Downloader.Win32.Swizzor.bo
McAfee 4743 04.18.2006 no virus found
NOD32v2 1.1494 04.18.2006 no virus found
Norman 5.90.15 04.18.2006 Swizzor.gen
Panda 9.0.0.4 04.18.2006 Adware/Lop
Sophos 4.04.0 04.18.2006 no virus found
Symantec 8.0 04.18.2006 no virus found
TheHacker 5.9.7.130 04.16.2006 no virus found
UNA 1.83 04.17.2006 TrojanDownloader.Win32.Swizzor
VBA32 3.10.5 04.18. 2006 Trojan-Downloader.Win32.Swizzor.bo

BROWSBIAS.EXE konnte ich nicht mehr finden. dafür stehen in dem ordner jetzt andere exe dateien...

cosinus · 18.04.2006, 21:02

Hast nun die Qual der Wahl...
Entweder nach Anleitung vorgehen, um den Schädling zu entfernen...

ODER

System neu aufsetzen und sicher sein, dass er dann nicht mehr da ist!

deahendock · 23.11.2008, 22:35

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]

18.04.2006, 21:02	#7
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Mal wieder Swizzor.A - Bitte um Hilfe! Hast nun die Qual der Wahl... Entweder nach Anleitung vorgehen, um den Schädling zu entfernen... ODER System neu aufsetzen und sicher sein, dass er dann nicht mehr da ist! __________________ Logfiles bitte immer in CODE-Tags posten

Mal wieder Swizzor.A - Bitte um Hilfe!

Log-Analyse und Auswertung: Mal wieder Swizzor.A - Bitte um Hilfe!