Swizzor.A ?? Bitte um Überprüfung des Log-Files

tedzi · 05.06.2007, 20:39

Guten Abend Mitanand!
Ich habe einen stinknormalen PC mit einem INTEL Pentium 4 - 1700 MHz und Win XP.
Seit drei Tagen taucht folgender Fehler lediglich beim Googlen auf .... und das muss ich leider beruflich häufiger machen: Nachdem ich irgend einen Suchbegriff eingegeben habe und aus den Ergebnissen eines anklicken will, erscheint alles Mögliche .... nur nicht das was es sein sollte. In der Regel sind es die unterschiiedlichsten Werbeseiten aus denen man meist noch nicht einmal mehr heraus kommt ..... aber auch ein sog. Diskcleaner taucht häufiger auf + nervt. Suchen über Google ist somit einfach nicht mehr möglich!! Wie gesagt, das Alles lediglich bei Google, ansonsten läuft der Rechner prima. Hier auf der Seite bin ich dann auf die sauberen Anleitungen von Sunny gestossen und das was er da als Swizzor beschreibt, passt eigentlich. Also gemäss Anleitung los legen .... aber woran erkenne ich das zu löschende Programm das den Swizzor eingeschleust hat? Netpumper habe ich nicht drauf + den Messenger habe ich vorsichtshalber mal gelöscht .... brauche ich eh nicht. Sunny sagt dann weiter, dass man im HighjackThis nach den "02" + "04" Ordnernamen suchen soll, die auf den Pfad C:\Dokumente und Einstellungen verweisen ... die kommen in meinem Log-File überhaupts nicht vor? Also, hab ich alles abgebrochen und wende mich nun Hilfe suchend and Euch!!!
Hier ist der HighjackThis Log-File:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:04:35, on 05.06.2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\sdpasvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
D:\Software\Hijack\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ASRInst_V] C:\WINDOWS\System32\regsvr32.exe "C:\Programme\Gemeinsame Dateien\Panasonic\PSL_DMOG726Dec.dll" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140213455617
O17 - HKLM\System\CCS\Services\Tcpip\..\{097C7123-C82A-4B70-8003-3C0ADE062DAC}: NameServer = 85.255.115.85 85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FCDA3E3-D65F-4507-90D0-E6C127436F91}: NameServer = 85.255.115.85,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{B216E188-15C7-4548-BF50-AED169A3A528}: NameServer = 85.255.115.85,85.255.112.236
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.85 85.255.112.236
O17 - HKLM\System\CS1\Services\Tcpip\..\{097C7123-C82A-4B70-8003-3C0ADE062DAC}: NameServer = 85.255.115.85 85.255.112.236
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.85 85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.85 85.255.112.236
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: SDPAUMS server service (SDPASVC) - Matsushita Electric Industrial Co.,Ltd. - C:\WINDOWS\System32\sdpasvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 10623 bytes

Hat jemand von Euch einen Plan und kann mir einen Tipp geben ... aber bitte so, dass ein nicht so Bewanderter es verstehen und umsetzen kann.
Dank schon mal und Gruss
der Tedzi

Franz1968 · 05.06.2007, 21:57

Öhm. Hallo.
Bei einem völlig ungepatchten System wie diesem

Zitat:

Zitat von tedzi

Platform: Windows XP (WinNT 5.01.2600)

(ohne SP2 und ohne aktuelle Updates) und einer bestehenden Umleitung deines Internet-Verkehrs über die Ukraine (!)

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{097C7123-C82A-4B70-8003-3C0ADE062DAC}: NameServer = 85.255.115.85 85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FCDA3E3-D65F-4507-90D0-E6C127436F91}: NameServer = 85.255.115.85,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{B216E188-15C7-4548-BF50-AED169A3A528}: NameServer = 85.255.115.85,85.255.112.236
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.85 85.255.112.236
O17 - HKLM\System\CS1\Services\Tcpip\..\{097C7123-C82A-4B70-8003-3C0ADE062DAC}: NameServer = 85.255.115.85 85.255.112.236
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.85 85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.85 85.255.112.236

die wahrscheinlich auch mit Rootkit-Befall verbunden ist, kann dir nur zu einem sauberen Neuaufsetzen nach der Anleitung in unseren Foren-FAQ geraten werden. Sorry.

tedzi · 05.06.2007, 22:24

Hello Franz!
Ich bin platt!!!!
Neu aufsetzen leuchtet mir ja ein ..... aber Umleitung über die Ukraine ... ?? ...
wie kann so etwas denn passieren??`Das kann ich mir nicht nur nicht ... sondern überhaupts gar nicht nix erklären ????
Mach mich mal schlau .... bitte.
Gruss
der tedzi

felix1 · 06.06.2007, 06:03

Zitat:

Zitat von tedzi

Hello Franz!
Ich bin platt!!!!
Neu aufsetzen leuchtet mir ja ein ..... aber Umleitung über die Ukraine ... ?? ...
wie kann so etwas denn passieren??`Das kann ich mir nicht nur nicht ... sondern überhaupts gar nicht nix erklären ????
Mach mich mal schlau .... bitte.
Gruss
der tedzi

Bei diesem ungepatchten System ist es kein Wunder. Dein System ist wie ein schweizer Käse, da freuen sich die Kumpels aus der Ukraine. Ändere auf jeden Fall auch sämtliche Passwörter!!! System neu aufsetzen und sämtliche Sicherheitsupdates installieren.

Gruss

Franz1968 · 06.06.2007, 13:18

Zitat:

Zitat von tedzi

Mach mich mal schlau .... bitte.

Stell es dir ungefär so vor: Sobald du dich ins Internet einwählst und in die Adress-Zeile deines Browsers irgendeine beliebige Adresse eingibst, wird diese an einem urkainischen Name-Server aufgelöst, und nicht an dem Name-Server beispielsweise deines Internet-Providers, wie es eigentlich sein sollte (ich hoffe, ich habe es einigermaßen korrekt dargestellt).

An deinem Logfile kannst du es hier nachvollziehen:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{097C7123-C82A-4B70-8003-3C0ADE062DAC}: NameServer = 85.255.115.85 85.255.112.236

Geh mal zu www.ripe.net und gib die von mir fett markierte IP-Adresse dort ein.

Warum dieser Befall? Ich weiß nicht viel über dein Surfverhalten, kann dir aber sagen, dass du deinen Rechner fast unausweichlich infizieren wirst, wenn du mit deinem völlig ungepatchten Windows ins Netz gehst. Das SP2 für Windows XP gibt es seit drei Jahren. Du hast nicht mal das SP1!
Die Service-Packs schließen als kritisch erkannte Sicherheitslücken des Betriebssystems; wer sie nicht hat, ist eben verwundbar.

Swizzor.A ?? Bitte um Überprüfung des Log-Files

Log-Analyse und Auswertung: Swizzor.A ?? Bitte um Überprüfung des Log-Files