|
Log-Analyse und Auswertung: Swizzor.AWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.02.2007, 15:27 | #1 |
| Swizzor.A Hallo nochmal ich glaube ich brauch doch hilfe habe mir die anleitung wie ich den Swizzor.A von mein rechner Entferne. ich komme mit der logfile nicht klar kann mir bitte einer sagen was ich löchen muß wenn ich die logfile poste dammit ich weiter komme. mfg.madmax22 Hir die logfile: Logfile of HijackThis v1.99.1 Scan saved at 15:05:37, on 13.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\Mixer.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Java\jre1.5.0_11\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\vsnpstd2.exe C:\Programme\Microsoft IntelliType Pro\itype.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\eHome\ehmsas.exe D:\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EA Link\Core.exe" -silent O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135959505312 O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://bmm.imgag.com/imgag/cp/install/crusher-de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{33D50C53-6E51-4DF7-B00E-250E13C35C67}: NameServer = 194.8.194.60 213.168.112.60 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE |
13.02.2007, 15:38 | #2 | |
| Swizzor.A Hallo,
__________________erkläre bitte wie du darauf kommst eine Swizzor Infektion zu haben ? Wer oder was hat dir das gesagt ? Zitat:
Ich bin ein ganz großer Frauenversteher... aber mit dem was du schreibst, komme ich nicht klar.Ich verstehe nicht was du meinst.... Irrlicht |
13.02.2007, 15:46 | #3 |
| Swizzor.A HI mein AntiVir :
__________________Ein Virus oder unerwünschtes Programm 'TR/Swizzor.A' [trojan] in der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton nach jedem scan krig ich diese nachicht dann gehe ich davon aus das ich ein Swizzor Infektion habe. mfg:madmax22 Geändert von madmax22 (13.02.2007 um 16:00 Uhr) |
13.02.2007, 16:04 | #4 |
| Swizzor.A Hallo, aus der Hüfte geschossen,würde ich behaupten dein Norton hat ihn gefangen. Allerdings sehe ich keinen Eintrag den ich mit Norton verbinden könnte..... Folgender Vorschlag: Google nach "alle Dateien anzeigen" und folge der Anleitung die du finden wirst. Dann begibst du dich über Start > Arbeitsplatz > Lokaler Datenträger C > Dokumente und Einstellungen > All User > Anwendungsdaten zu dieser datei,sofern sie überhaupt existiert.... Hast du die Pfadangabe die du gepostet hast abgeschrieben oder kopiert ? Ich meine nämlich du hast das nicht richtig abgeschrieben..... Berichte was du gefunden hast. Irrlicht |
13.02.2007, 16:13 | #5 |
| Swizzor.A Hi das ist ja das was ich nicht verstehe 1. hab ich kein norton drauf 2. finde ich kein ordner ('C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton. Ich hab mit antivir den scan gemacht. |
14.02.2007, 20:26 | #6 |
| Swizzor.A hallo nochmal ich finde kein ordner namens \AllUsers\Anwendungsdaten\Symantec\Norton. dort soll dieser blöde Swizzor.A sein ich habe überhaupt garkein norton auf mein rechner und jetzt sitze ich immer noch auf mein problem. ich verstehe auch nicht warum antivir diesen( 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton) ordener anzeigt!? |
14.02.2007, 20:28 | #7 |
| Swizzor.A Hallo, hattest du denn jemals Symantec/Norton Produkte benutzt ? Hast du "alle Dateien sichtbar machen" erledigt ? Ist deine Meldung wirklich kopiert oder schreibst du die aus dem Gedächtnis ? Der genaue Wortlaut ist sehr wichtig ! Irrlicht |
14.02.2007, 21:14 | #8 |
| Swizzor.A hallo ich habe den ordner:'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton gefunden nach dem ich alle dateien sichtbar gemacht habe. Kannst du mir sagen was ich jetzt machen soll? Psie meldung ist kopiert |
14.02.2007, 21:22 | #9 |
| Swizzor.A Hallo, lösche den Ordner Symantek,das löscht automatisch den anderen Unterordner. Nicht das ganze Ding platt machen !! Hangel dich an dem angegebenen Pfad lang. Bei jedem Schrägstrich ist immer der Ordner zu suchen der danach kommt. Erst wenn du im Ordner Anwendungsdaten bist,darfst du ans löschen denken.Dort aber nur den Symantk Ordner plattmachen !! Irrlicht |
14.02.2007, 21:27 | #10 |
| Swizzor.A ok habe den ordner symantek gelöcht soll ich mit antivir ein durchlauf machen? |
14.02.2007, 21:46 | #11 |
| Swizzor.A jep,...aber im abgesicherten Modus bitte.... Abgesicherter Modus ist die Taste F8 beim Anschalten... Nur "abgesicherter Modus" auswählen,nix anderes ! Irrlicht |
15.02.2007, 12:43 | #12 |
| Swizzor.A Hallo Irrlich ich hab im Abgesicherten modus mit antivir ein scan gemacht und der Swizzor.A ist weg. Dann hab ich noch im normal modus ein durchlauf gemacht auch kein fund! es scheint so als wäre er weg. Dank deiner hilfe bin ich den los geworden DANKE! Gruß madmax22 :-) |
15.02.2007, 12:48 | #13 |
| Swizzor.A Würde Irrlicht schon wach sein, würde er gern noch eine Bestätigung per LogFile haben. Würdest du Ihm diesen Wunsch gewähren? :aplaus: mfg Cleriker |
15.02.2007, 15:04 | #14 |
| Swizzor.A Hallo, sagen wir mal so.... Hätte ich jemals einen für "Swizzor" relevanten Eintrag sehen können,hätte ich schon ein neues Log zur Erfolgskontrolle gewollt... So aber würde ich sagen : geschenkt,viel Spaß beim Surfen... Irrlicht PS. Zu der Zeit war ich schon mit meiner zweiten Pause zugange... |
Themen zu Swizzor.A |
adobe, antivir, avg, avira, bho, dateien, drivers, dsl, excel, explorer, google, heulen, hijack, hijackthis, hotkey, internet, internet explorer, logfile, messenger, microsoft, plug-in, programme, software, system, system32, windows, windows xp, windows\system32\drivers |