hallo
ich habe ein problem und zwar habe ich einen trojaner namens swizzor
er hat sich in mein system als prozess "iexplore" injiziert (gleich 2 prozesse!)

ich hoffe ihr könnt mir weiter helfen
hier mein hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 18:59:20, on 23.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\programme\steam\steam.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\yannik\Xfire\Xfire.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\yannik\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Name Five Barb Test] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SETTINGS BAIT NAME FIVE\liessixth.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CrypticDisk] "C:\Programme\Cryptic Disk\CrypticDisk.exe" /tray
O4 - HKCU\..\Run: [balm up] C:\DOKUME~1\yannik\ANWEND~1\DEAFTR~1\memo test.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{956D4350-CE7C-4A4C-86AC-69EA5B10D512}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe



mfg und thx für alle antworten

mOIn
guckst du hier
http://www.trojaner-board.de/showthread.php?t=28388
MFG aus HH

hi
na das hab ich schon längst gelesen kann damit aber net viel anfangen weil ich in sachen computer noch generell ein noob bin
hoffe es kann mir jemand weiter helfen

Hallo,
du bist nicht willens oder in der Lage der Anleitung zu folgen ?
Dann bleibt dir nur,einen Fachmann vor Ort diese Aufgabe zu übertragen oder mit den Folgen, deines leichtsinnigen Umgangs mit dem Medium Internet,zu leben.
Irrlicht

Hallo,
was genau hast du an der Anleitung nicht verstanden, bin für konstruktive Vorschläge jederzeit offen. Bilde mir aber eigentlich ein sie auch für Anfänger verständlich formuliert zu haben.


Grüße Wildone

hi
also du hast geschrieben das die einträge miteinaml mit O2 und O4 anfangen aber bei mir hat es nichts mit o2 gefunden und sindes auch noch mehere o4 einträge . Meine frage welche ist es denn von denn vielen

hier eine aktueller HijackThis scan

sry wenn die fragen dumm sind hab erst seit 1/2 jahr einen pc und sehr wenig plan



C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\steam\steamapps\purepowerdoener\counter-strike source\hl2.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\yannik\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [balm up] C:\DOKUME~1\yannik\ANWEND~1\DEAFTR~1\memo test.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{956D4350-CE7C-4A4C-86AC-69EA5B10D512}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hallo,

Zitat:

also du hast geschrieben das die einträge miteinaml mit O2 und O4 anfangen aber bei mir hat es nichts mit o2 gefunden

Ich schrieb:

Zitat:

Normalerweise hat Swizzor mindesten zwei Einträge

Das impliziert das es Ausnahmen gibt, wie bei dir.

Relevanter Eintrag:
O4 - HKCU\..\Run: [balm up] C:\DOKUME~1\yannik\ANWEND~1\DEAFTR~1\memo test.exe


Grüße Wildone

Hallo,
ein Drittel der Zeit für die Innereien deiner Kiste aufgewendet,die du dafür investiert hast :

Zitat:

c:\programme\steam\steamapps\purepowerdoener\count er-strike source\hl2.exe

..und du bräuchtest dich für deine Fragen nicht entschuldigen...
Das brauchst du übrigens generell nicht.
Es langt völlig wenn du an deinem Problem mitarbeitest und Intresse an einer Lösung zeigst.Das heißt im Klartext :lese Anleitungen und Anweisungen genau und handle danach.Benutze Google als erstes für deine Fragen.
Dann wird dir solch ein Lapsus wie dein HJT-Log ,ganz ohne Kopf ,auch nicht mehr passieren....
So genug Pädagogik für heute..
Irrlicht

hi
hab jetzt den 04 eintrag gelöscht aber was ich nicht gefunden hab das 5. mit der job datei da hab ich einfach garnix gefunden
komisch find ich bloss das in hijack this der memo test eintrag noch drin ist aber iexplore raus aus dem task manager ist wo er auch nicht mehr angezeigt wird und er spammt mich auch nicht mehr zu.


hier noch mal hijackthis:



Logfile of HijackThis v1.99.1
Scan saved at 18:51:32, on 14.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\yannik\LOKALE~1\Temp\Temporäres Verzeichnis 7 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [balm up] C:\DOKUME~1\yannik\ANWEND~1\DEAFTR~1\memo test.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{956D4350-CE7C-4A4C-86AC-69EA5B10D512}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe




thx für alle antworten

kann mir denn keiner was dazu sagen?

wieso schreibt denn hier keiner was ?????

Zitat:

Zitat von ToD3sDöN3r

wieso schreibt denn hier keiner was ?????

Na wenn du alles gemacht hast warum soll dir dann noch jemand schreiben?!
Außerdem scheinst du ja noch nicht alles gemacht zu haben was in der Anleitung "Entfernung Swizzor.A" stand

Diesen Punkt also nochmal durch lesen:

Zitat:

4.) Wenn ihr jetzt die betreffenden einträge gefunden habt geht ihr in den abgesicherten Modus und löscht dort die betrefenden Ordner, bei den Beispieleinträgen wären das folgende:

bei dir dieser:
C:\DOKUME~1\yannik\ANWEND~1\DEAFTR~1\

dann:
dann, immernoch im abgesicherten Modus, fixt (Haken davor und auf "fix checked") ihr mit HijackThis noch die jeweiligen O2 und O4 Einträge und, falls vorhanden, einen R1/R0 Eintrag der folgendermaßen aussieht:

O4 - HKCU\..\Run: [balm up] C:\DOKUME~1\yannik\ANWEND~1\DEAFTR~1\memo test.exe

zusätzlich nochmals hier suchen, sollte nichts mehr da sein, ist wohl alles weg bzw.war garnicht erst da..

Zitat:

5.) Geht in den Ordner C:\Windows\Tasks, dort sucht ihr nach einer *.job Datei, die aus 16 zusammengewürfelten Buchstaben/Zahlen besteht und zur vollen Stunde erstellt wurde. Beispiele hierfür:

C:\WINDOWS\tasks\A58DA13791965BA7.job
C:\WINDOWS\tasks\AE3C1401919B8531.job
C:\WINDOWS\tasks\A60C46BB9187FF23.job

löscht diese Datei mit killbox on reboot.

Gruß
Daniel

Hallo,
es ist OT,aber so schön...

Zitat:

zusätzlich nochmals hier suchen, sollte nichts mehr da sein, ist wohl alles weg bzw.war garnicht erst da..

Bestechende Logik

Zitat:

Zitat von irrlicht

Bestechende Logik

Bevor man erst wieder mit Fragen gelöchert wird?!

denn...

Zitat:

Zitat von ToD3sDöN3r

sry wenn die fragen dumm sind hab erst seit 1/2 jahr einen pc und sehr wenig plan

Ok?!