hallo,

ich hab neulich von etrust eine fehlermeldung angezeigt bekommen,in dem stand dass ich einen swizzor hab.Bei google bin ich dann hierher gekommen und hab mir die anleitung zur entfernung durchgelesen,bräuchte aber eine auswertung von meinem log,da ich mir nich ganz sicher bin was ich jetz fixen soll und was nicht.


Logfile of HijackThis v1.99.1
Scan saved at 13:54:59, on 26.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AnalogX\NetStat Live\nsl.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Logitech\QuickCam10\COCIManager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {42EFF7C3-A01F-403C-9A70-CCCDF6B18681} - C:\WINDOWS\system32\iassam32.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {F6E06902-F2EC-4FF1-603C-F9D11F6C1F6F} - C:\DOKUME~1\ANJAHA~1\ANWEND~1\Sixth Debug Plus\wipe book.exe (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\wisp
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NetStat Live] C:\Programme\AnalogX\NetStat Live\nsl.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\SHDOCVW.DLL
O14 - IERESET.INF: START_PAGE_URL=h**p://www.msn.de/
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://distanceyourselffromme.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125416945388
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125474724593
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Media Connect-Dienst (WMConnectCDS) - Unknown owner - C:\Programme\Windows Media Connect 2\wmccds.exe (file missing)




hab auch einen etrust systemscan gemacht und folgende pfade von swizzor gefunden:


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\closetonsboobvc\Meow team.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\closetonsboobvc\Nurb boob.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\closetonsboobvc\Saveway.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\closetonsboobvc\Start Inside.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\dfwwipty.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\hlpdpxci.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\jjlkqbvo.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\pizwzupv.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\twodartgrim.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\ufmfvrez.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\whoggwjz.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\xgjkzphr.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\xlfjclks.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\yjbqlqdy.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\c82b42.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ca569b.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cb5878.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cc319e.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cd0d31.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cea2f0.exe
C:\Dokumente und Einstellungen***\Lokale Einstellungen\Temp\cfbf22.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\d44c4f.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\d55f04.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta29.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2A.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2B.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2C.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2D.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2E.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2F.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta30.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta31.exe


hoffe das hilft weiter


gruß cradlekeks

Hallo,
dein vermeidlicher swizzor ist dein geringstes Problem...
Du hast diesen im System :Troj/Prorat-D - Trojaner - Sophos Bedrohungsanalyse

Vuiel übler geht eigentlich nicht.....
Also heißt das für dich :Neuaufsetzen und zwar zügig...
...und jammer jetzt nicht rum,von wegen "ich will nicht bitte bitte helft mir ohne Neuinstallation"....
Du bist selbst schuld an deiner Misere.
Wer nämlich Bearshare als Startseite hat,der hat den Schuß nicht gehört....
Irrlicht

danke für den rat aber ich habs dann doch auch ohne Neuaufsetzen hinbekommen dank einen netten freund der sich damit gut auskennt

glg keks

/e: fehlermeldungen weg,pc wieder angenehm leise,kein hängen wenn ich was anhabe,wunderbar

Was ein Backdoor-Trojaner wie Prorat kann, kannst du kurz und bündig hier nachlesen. Wenn du irrlichts Empfehlung nicht gefolgt bist, werden wir uns hier wohl bald wiedersehen.

Hallo,

Zitat:

dank einen netten freund der sich damit gut auskennt

Ein Freund ? vielleicht....
Einer der sich damit auskennt ? Ganz sicher nicht....
Aber ganz wie du meinst.....du mußt den Link den du von uns gepostet bekamst auch nicht lesen....sind ja nur aneinandergereihte Buchstaben...
Du weißt aber schon,das die Log`s hier gespeichert werden, von Typen die glauben das ihr Freund das löschen von "übelsten Dingen" draufhat...?
Ist nur damit ,wenn du wiederkommst, (und du wirst wiederkommen)wir dich an deinen Freund verweisen können....
Irrlicht