| |
| |||||||
Log-Analyse und Auswertung: TR/Swizzor wiederWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
19.04.2008, 17:05
| #1 |
| |  TR/Swizzor wieder Hallo, brauche Hilfe, der swizzor hat zugeschlagen, Antivir deaktiviert und auch Adaware läuft nicht mehr durch. Im Prinzip erfolgt ständig irgendwie eine Weiterleitung auf fremde Seiten, verbunden mit Windows ähnlichen Meldungen, die ein Festplatten check, Meldung an Winows senden oder in der Art vorschlagen. Hier das log file, any hint? Log sieht dann so aus: Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA  [/edit] |
|
19.04.2008, 18:26
| #2 |
| | TR/Swizzor wieder Hallo,
__________________ich nochmal. Habe vergesen zu erwähnen, dass ich mich mit Eurer Anleitung zum Swizzor schon befasst hatte, aber nicht so recht weitergekommen bin. Als Info noch, in der Firewall ist das Antivirenprogramm deaktiviert und läßt sich nicht wieder aktivieren. Antivir ist zwar noch da, läßt sich aber nicht mehr aktualisieren und ein scan (auch im abgesichteren Modus) brint nix. In der Firewall waren als Ausnahmen, die ich nicht zuordnen konnte @xpsp3res.dll und hls zugelassen, habe dort die Haken entfernt. So recht komme ich nicht weiter. Vieleicht hat doch noch jemnad einen Tip in welche Richtung ich weiter vorgehen kann. mfg+Danke! |
|
19.04.2008, 19:10
| #3 | |
  | TR/Swizzor wieder Hallo
__________________Zitat:
 Scanne dein System bitte mal mit Blacklight ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe das Log findest du im selben Ordner wo Blacklight abgelegt wurde. Überprüfe dein System ebenfalls mit Combofix Ein Leitfaden und Tutorium zur Nutzung von ComboFix Anschließend poste bitte die Logs. MFG |
|
19.04.2008, 19:21
| #4 |
| | TR/Swizzor wieder Hi, besten Dank für die Antwort. Vielleicht ists noch was anderes. Ich kann das aber sclecht analysieren, da ich Antivir, Adaware nicht zum laufen kriege (AdAware meldet 200 infizierte Einträge wärend der Analyse, bleibt dann aber kurz vor Ende hängen, aktualisieren geht gar nicht, Antivir ähnlich) Ich werde aber erstmal wie vorgeschlagen vorgehen und melde mich wieder. Grüße, |
|
22.04.2008, 20:00
| #5 |
| | TR/Swizzor wieder Hi, also mir scheint, dass es wohl doch nicht swizzor war/ist. Ich habe Adaware (hat 199 "infected", gefunden aber alles nur tracking cokies, habe ich natürlich gelöscht) und auch Spybot (hat messengerskimmer.rtk und mailskimmer.rtk und Mediaplex gefunden/gelöscht) zum laufen gekriegt, aber das Werbeseiten öffnen war immer noch da (vor allem Haufen son Windowsähnliches Zeug, Problembericht senden, Ihre Festplatte ist infiziert, check durchführen...). Habe dann fsbl laufen lassen und hier das log: 04/22/08 19:19:54 [Info]: BlackLight Engine 1.0.70 initialized 04/22/08 19:19:54 [Info]: OS: 5.1 build 2600 (Service Pack 2) 04/22/08 19:19:54 [Note]: 7019 4 04/22/08 19:19:54 [Note]: 7005 0 04/22/08 19:19:56 [Note]: 7006 0 04/22/08 19:19:57 [Note]: 7011 1280 04/22/08 19:19:57 [Note]: 7035 0 04/22/08 19:19:57 [Note]: 7026 0 04/22/08 19:19:57 [Note]: 7026 0 04/22/08 19:19:57 [Note]: 7024 3 04/22/08 19:19:57 [Info]: Hidden process: C:\dokumente und einstellungen\uwe h\lokale einstellungen\anwendungsdaten\hhcunxivky 04/22/08 19:19:59 [Note]: FSRAW library version 1.7.1024 04/22/08 19:20:02 [Info]: Hidden file: c:\Dokumente und Einstellungen\Uwe H\Lokale Einstellungen\Anwendungsdaten\hhcunxivky. 04/22/08 19:20:02 [Note]: 10002 1 04/22/08 19:20:02 [Info]: Hidden file: C:\dokumente und einstellungen\uwe h\lokale einstellungen\anwendungsdaten\hhcunxivky.e 04/22/08 19:20:02 [Note]: 10002 1 04/22/08 19:20:02 [Info]: Hidden file: c:\Dokumente und Einstellungen\Uwe H\Lokale Einstellungen\Anwendungsdaten\hhcunxivky_n 04/22/08 19:20:02 [Note]: 10002 1 04/22/08 19:20:03 [Info]: Hidden file: c:\Dokumente und Einstellungen\Uwe H\Lokale Einstellungen\Anwendungsdaten\hhcunxivky_n 04/22/08 19:20:03 [Note]: 10002 1 04/22/08 19:24:08 [Note]: 2000 1012 04/22/08 19:26:02 [Note]: 7007 0 Diese hhcunxivky liessen sich nicht bereinigen, nur umbenennen, das habe ich gemacht, dann die umbenannten Dateien gesichert und gelöscht. Ja, und seit dem scheint mein Seitenöffner Ruhe zu geben. Ich habe mal nach diesen hhcin.. Dingern gegoogelt, aber nix gefunden. Das AntiVir Problem scheint mehr eher von AntiVir zu kommen. Ich habe eine neue "free" Version heruntergeladen, aber die update Seiten scheinen überlastet zu sein (lassen sich auch separat im Explorer nicht öffnen oder anpingen). Auf einem anderen PC habe ich eine bezahlte Pro Version, da gehts einwandfrei. Na warten wir mal ab. Ist denn jemandem schon diese HHcun... irgendwie untergekommen. Kann ja auch noch sein, dass es zu einem Programm gehört? Das werden wir demnächst feststellen. Aber erstmal scheint Ruhe in der Kiste zu sein. mfg ach die Endungen dieser Dateien waren .exe, .dat, _nav.dat und _navpsdat, die Dateibnamen waren wohl zu lang fürs log |
|
| Themen zu TR/Swizzor wieder |
| adaware, antivir, antivir deaktiviert, check, deaktiviert, festplatte, festplatten, file, fremde, hijack, hijackthis, links, log, log file, meldungen, micro, nicht mehr, platte, seite, seiten, senden, swizzor, trend, weiterleitung, windows |
Linear-Darstellung
