Hallo,

wie man bereits an der Überschrift sehen kann, ist mir etwas unklar bei der Anleitung zur Entfernung von Swizzor.A.

Zitat:

1.) Deinstalliert über Start>>Eintellungen>>Systemsteuerung>>Software das Programm das den Swizzor eingeschleust hat, z.B. Netpumper oder MessengerPlus3. Macht dann einen Neustart, wenn dann keine Popups oder Meldungen des AVs mehr kommen sollte es das schon gewesen sein.

Als erstes soll man ja das Programm deinstallieren, welches den Swizzor eingeschleust hat, aber woher weis ich welches Programm das war?
Oder wie finde ich es heraus?

Ich habe den Messanger Plus version 4.11, kann es sein das dieser ebenfalls den Swizzor auf meinen Rechner eingeschleust hat?

Erbitte um Hilfe

Ja das ist durchaus möglich.
Erst vor kurzem hab ich einen Computer gesehen da hing noch viel schlimmeres mit Messengerplus zusammen.
Es kommt halt darauf an von welcher Quelle man es runterlädt.

Hab das auf CHIP Online - Tests, Kaufberatung, News, Downloads, Preisvergleich gesaugt

Also sollt ich jetzt MSN ganz deinstallieren?

Zitat:

Zitat von Kurosaki

Als erstes soll man ja das Programm deinstallieren, welches den Swizzor eingeschleust hat, aber woher weis ich welches Programm das war?
Oder wie finde ich es heraus?

Hallo.

In dem du einfach hier im Forum nachfragst.
Die Programme (Netpumper oder MessengerPlus3.) die Wildone aufgezählt hat waren nur Beispiele und die meist verbreitetsten "Träger" dieser Spyware.

Sicherlich könnte man eine ganze List erstellen, wo aufgeführt wird, welche Programme den Swizzor mitbringen.
Nur wer macht sich schon die Arbeit, da diese Liste ja täglich erweitert wird, dann zu aktualisieren?!

Zitat:

Ich habe den Messanger Plus version 4.11, kann es sein das dieser ebenfalls den Swizzor auf meinen Rechner eingeschleust hat?

So wie es auch bei den anderen Schädlingen der Fall ist, das sie deren Namen annehmen, so ist es beim Messenger!Plus3 auch der Fall.
Es wird vorgegeben ein Programm (nützliches!) zu sein, welches es aber nicht ist! Aber jeder denkt es ist alles in Ordnung...

Zitat:

Zitat von Vergleich

MSN (kennt jeder!) = Messenger!Plus3 (hört sich gut an, ist aber Spyware!)

SVCHOST.EXE (Systemprozess!) = ScVCHOST.EXE (sieht auch fast so aus, ist aber ein BackdoorTrojaner (meistens!).

Hoffe das hilft dir etwas...

Gruß
Sunny

SVCHOST.EXE ist ein Trojaner ?

Haben davon 7 Stück im Tast-Manager bei Prozessen....

Wie kann ich diese entfernen, oder nachgucken, welche Trojaner sind und welche nicht?

Zitat:

Zitat von Kurosaki

SVCHOST.EXE ist ein Trojaner ?

Haben davon 7 Stück im Tast-Manager....

Wie kann ich diese entfernen, oder nachgucken, welche Trojaner sind und welche nicht?

soviel zum Thema.....

ich habe doch geschrieben:

Zitat:

SVCHOST.EXE (Systemprozess!) = ScVCHOST.EXE (sieht auch fast so aus, ist aber ein BackdoorTrojaner (meistens!).

Siehst du das kleine c oben? Ich habe dich optisch getäuscht, und jeder denkt es ist alles in Ordnung...ist es aber nicht!

SVCHOST.EXE <- Systemprozess

SCVCHOST.EXE <- Trojaner

Ahhh, jetzt seh ich es, sry ^^


Aber jetzt nochmal zu meiner Frage, könnte jemand vielleicht ein paar Programm posten, die einen Swizzor mitbringen?

Hier mein HJT-Log

Logfile of HijackThis v1.99.1
Scan saved at 15:16:41, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hardware\Mouse\iTouch\iTouch.exe
C:\PROGRA~1\Hardware\Mouse\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Audio\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jappy.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Hardware\Mouse\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Hardware\Mouse\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CakeFork] C:\DOKUME~1\ADMINI~1\ANWEND~1\UPDOG~1\signlocks.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F81553E4-D19D-4560-BC5D-F1BCA0EC433A}: NameServer = 213.168.112.60 194.8.194.60
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Ein Programm kann ich leider nicht entdecken welches den Swizzor mitgebracht hat, aber der Swizzor ist immer noch in deinem System!
Und beim nächsten Update könnte er eventuell wieder aktiv (PopUps) werden.

Fixe noch folgenden Eintrag mit HijackThis:

Zitat:

4 - HKCU\..\Run: [CakeFork] C:\DOKUME~1\ADMINI~1\ANWEND~1\UPDOG~1\signlocks.ex e

Gruß
Sunny

Dankö für deine Hilfe.

Hab ihn jetzt gefixt.

Was soll ich jetzt machen?
Warten bis er wieder aktiv wird?

Hmm, es anscheined kein Programm gibt, welches ihn mitgebracht hat, kann ich ihn ja auch schlecht entfernen...
Soll ich die Schritte von der Entfernung vom Swizzor.A sein lassen?

Zitat:

Zitat von Kurosaki

Hab ihn jetzt gefixt.

Hast du auch manuell den Ordner gelöscht, so wie es in der Anleitung beschrieben war?

Zitat:

Was soll ich jetzt machen?
Warten bis er wieder aktiv wird?

Aktiv, sofern du den Ordner gelöscht hast, kann er eigentlich nicht mehr werden!
Es sei denn du behälst deine Surfgewohnheiten wie sind und installierst bald wieder einen schädlichen Code.

Gruß

Zitat:

Hast du auch manuell den Ordner gelöscht, so wie es in der Anleitung beschrieben war?

Soooo, jetzt hab ich den Ordner gelöscht und nochmal richtig gefixt^^

Zitat:

Aktiv, sofern du den Ordner gelöscht hast, kann er eigentlich nicht mehr werden!
Es sei denn du behälst deine Surfgewohnheiten wie sind und installierst bald wieder einen schädlichen Code.

Werd ich schon nicht, hoffe ich jedenfalls^^


Vielen Dank für deine Hilfe

Zitat:

Zitat von Kurosaki

Vielen Dank für deine Hilfe

Bittschön ...