Hallo Zusammen,

ich habe seit kurzem das Problem, das der IE automatisch startet wenn ich einen Link anklicke obwohl Firefox mein Browser ist. Nun habe ich einen Hinweis auf den Swizzor.A bekommen. Hier mein Scan.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:40:31, on 13.05.2008
Platform: Windows XP SP3, v.3244 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3244)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\PDF Complete\pdfsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RSA Security\RSA Authenticator Utility\RsaP11Svc.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\Programme\RSA Security\RSA Authenticator Utility\NTNotify.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Programme\RSA Security\RSA Authenticator Utility\NTNotify.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Programme\Copernic Desktop Search 2\DesktopSearchBand203000030.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Copernic Desktop Search 2] "C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209967004625
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209967630578
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: 3gProp - C:\Programme\RSA Security\RSA Authenticator Utility\3gProp.dll
O20 - Winlogon Notify: NotifyP11Svc - C:\Programme\RSA Security\RSA Authenticator Utility\NotifyP11Svc.dll
O20 - Winlogon Notify: OneCard - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - c:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: RSA Authenticator Utility 1.0 P11 Service (RsaP11Svc) - RSA Security Inc - C:\Programme\RSA Security\RSA Authenticator Utility\RsaP11Svc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe

--
End of file - 12759 bytes

Hallöle.

Also im log kann ich keinen Swizzor.A erkennen.. (erst die Boardsuche nutzen )

Mit RSA Security kann ich nichts anfangen und die Page finde etwas nichts sagend.


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\Programme\RSA Security\RSA Authenticator Utility\NTNotify.exe
O20 - Winlogon Notify: 3gProp - C:\Programme\RSA Security\RSA Authenticator Utility\3gProp.dll
O20 - Winlogon Notify: NotifyP11Svc - C:\Programme\RSA Security\RSA Authenticator Utility\NotifyP11Svc.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Wo fällt dir das mit den Links auf? ZUfällig im ICQ? Da benötigst du nämlich ein extra Tool um die Standartbrowser Konfiguration zu wechseln..
ICQ 6 Link Patch - Download - CHIP Online

Hier nun die Scans. Bei der Software handelt es sich um ein Produkt von HP. Das wurde mit dem Notebook ausgeliefert. Das ist schon immer installiert. Der IE startet immer wenn ich einen Link anklicke. ICQ habe ich nicht installiert.


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.10.0 2008.05.13 -
AntiVir 7.8.0.17 2008.05.13 -
Authentium 5.1.0.4 2008.05.13 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.12 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.12 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5783 2008.05.12 -
Ewido 4.0 2008.05.12 -
F-Prot 4.4.2.54 2008.05.13 -
F-Secure 6.70.13260.0 2008.05.13 -
Fortinet 3.14.0.0 2008.05.13 -
GData 2.0.7306.1023 2008.05.13 -
Ikarus T3.1.1.26.0 2008.05.13 -
Kaspersky 7.0.0.125 2008.05.13 -
McAfee 5293 2008.05.12 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3094 2008.05.12 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.12 -
Prevx1 V2 2008.05.13 -
Rising 20.44.10.00 2008.05.13 -
Sophos 4.29.0 2008.05.13 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.13 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.5 2008.05.12 -
VirusBuster 4.3.26:9 2008.05.12 -
Webwasher-Gateway 6.6.2 2008.05.13 -
weitere Informationen
File size: 37552 bytes
MD5...: ce21e0271d38f3f0b55922c5aa01e0ce
SHA1..: 41497f1f796c7bf285a417384ca895e14978eace
SHA256: bcdcc76bb8d11b510e42418edd3f1e8996355061ab6959ed723f857d143048c7
SHA512: 99920b9070d606f4022f437e64a9f6311e08a11d15f4af3194328db6fac13876
148f825ff3500e8cb57ece92bccfc4977dda9dbd406e6de5691ae3890284a0a2
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4039ac
timedatestamp.....: 0x444d381d (Mon Apr 24 20:42:05 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2f56 0x3000 6.37 93dafc91722fe2a83de9cc4cf45304da
.rdata 0x4000 0x1302 0x2000 3.20 276a1658fa125c182f65453b24ef4437
.data 0x6000 0x1934 0x1000 3.42 f90cb200e9781ec3f26268cdcdf549c2
.rsrc 0x8000 0xc80 0x1000 2.50 a36357ec8d4d304d20839a6a1f6dc03c

( 11 imports )
> 3gProp.dll: PropagateCardCerts, RemovePropagatedCerts
> KERNEL32.dll: InterlockedDecrement, GetStartupInfoA, GetModuleHandleA, LocalAlloc, LocalFree, GetLocalTime, LoadLibraryA, GetCurrentThreadId, lstrlenA, GetCurrentProcess, Sleep, InitializeCriticalSection, WaitForSingleObject, TerminateThread, DeleteCriticalSection, VirtualQuery, CreateThread, CreateMutexA, GetLastError, GetProcAddress, FreeLibrary, ReleaseMutex, CloseHandle, EnterCriticalSection, LeaveCriticalSection, GetCurrentProcessId, GetModuleFileNameA, MultiByteToWideChar
> USER32.dll: TranslateMessage, EndDialog, GetMessageA, IsWindow, MessageBoxA, IsDialogMessageA, CreateDialogParamA, DispatchMessageA
> ADVAPI32.dll: RegisterEventSourceA, ReportEventA, DeregisterEventSource, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, GetUserNameA
> ole32.dll: CoUninitialize, CoCreateInstance, CoInitializeEx
> OLEAUT32.dll: -, -, -
> CRYPT32.dll: CertCloseStore, CertFreeCertificateContext, CryptMsgGetAndVerifySigner, CryptQueryObject, CertGetNameStringA, CryptMsgClose
> PSAPI.DLL: GetModuleBaseNameA, EnumProcessModules
> MFC42.DLL: -, -, -, -, -, -, -, -, -
> MSVCRT.dll: fclose, __1type_info@@UAE@XZ, _exit, _XcptFilter, exit, _acmdln, fprintf, fflush, vfprintf, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, sprintf, _onexit, _controlfp, atoi, __0exception@@QAE@ABQBD@Z, __1exception@@UAE@XZ, __0exception@@QAE@ABV0@@Z, _CxxThrowException, fopen, __CxxFrameHandler, __setusermatherr, __getmainargs, _initterm, strncmp, __dllonexit
> MSVCP60.dll: __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@ABV12@II@Z, ___7out_of_range@std@@6B@, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __1out_of_range@std@@UAE@XZ, __0out_of_range@std@@QAE@ABV01@@Z, __0logic_error@std@@QAE@ABV01@@Z, __Grow@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAE_NI_N@Z

( 0 exports )

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.10.0 2008.05.13 -
AntiVir 7.8.0.17 2008.05.13 -
Authentium 5.1.0.4 2008.05.13 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.12 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.12 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5783 2008.05.12 -
Ewido 4.0 2008.05.12 -
F-Prot 4.4.2.54 2008.05.13 -
F-Secure 6.70.13260.0 2008.05.13 -
Fortinet 3.14.0.0 2008.05.13 -
GData 2.0.7306.1023 2008.05.13 -
Ikarus T3.1.1.26.0 2008.05.13 -
Kaspersky 7.0.0.125 2008.05.13 -
McAfee 5293 2008.05.12 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3094 2008.05.12 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.12 -
Prevx1 V2 2008.05.13 -
Rising 20.44.10.00 2008.05.13 -
Sophos 4.29.0 2008.05.13 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.13 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.5 2008.05.12 -
VirusBuster 4.3.26:9 2008.05.12 -
Webwasher-Gateway 6.6.2 2008.05.13 -
weitere Informationen
File size: 53936 bytes
MD5...: b78867b3c4ca617fd2113ba22cfc0e85
SHA1..: 4e26e7fb4a2c3ce39cd03ee2d4c4c167db3ef062
SHA256: 41af71a522761b9401b69c4f83f9a35bad46f71772314dba78e49b7d63b5743a
SHA512: 1ded95f191c0e5e04ff0a6c9abde4df5fff0b9a8c787a109990e7908cb46ec33
f497bb7b36ecbf0c1f516c7ccff16b5bbc17c41f134bb4b8cff54dcb4f4cf921
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100052ca
timedatestamp.....: 0x444d3743 (Mon Apr 24 20:38:27 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4796 0x5000 6.01 d42bf0a3be38e30e5eeb52eee5cf32b8
.rdata 0x6000 0x139d 0x2000 3.17 c150a03f38a0c96baf2a3e5496db3989
.data 0x8000 0x24d4 0x2000 3.90 0237b42257aa396c5d34f484971c899b
.rsrc 0xb000 0x380 0x1000 0.94 5e9ba525e9b1f35a061f83d08ebfced6
.reloc 0xc000 0x99a 0x1000 3.53 d8833457f1bdb61b8ca7e30a78fb96b2

( 9 imports )
> CRYPT32.dll: CertGetNameStringA, CryptMsgClose, CryptQueryObject, CryptMsgGetAndVerifySigner, CertDeleteCertificateFromStore, CertOpenSystemStoreA, CertEnumCertificatesInStore, CertSetCertificateContextProperty, CertOpenStore, CertAddEncodedCertificateToStore, CertCloseStore, CertGetCertificateContextProperty, CertFreeCertificateContext
> PSAPI.DLL: EnumProcessModules, GetModuleBaseNameA
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: free, _initterm, sprintf, fflush, malloc, wcscmp, atoi, mbstowcs, _memicmp, _CxxThrowException, _vsnprintf, fopen, fprintf, __CxxFrameHandler, strncmp, vfprintf, __1type_info@@UAE@XZ, __dllonexit, _onexit, _adjust_fdiv, fclose
> KERNEL32.dll: CreateMutexA, LocalAlloc, CloseHandle, WaitForMultipleObjects, GetLastError, CreateEventA, OpenEventA, ResetEvent, GetProcAddress, FreeLibrary, SetEvent, GetCurrentThreadId, GetLocalTime, GetCurrentProcessId, ReleaseMutex, WaitForSingleObject, lstrlenA, GetCurrentProcess, InterlockedDecrement, LoadLibraryA, MultiByteToWideChar, LocalFree
> USER32.dll: MessageBoxA
> ADVAPI32.dll: CryptReleaseContext, CryptDestroyHash, GetUserNameA, CryptHashData, CryptCreateHash, CryptGetHashParam, RegCloseKey, CryptAcquireContextA, RegQueryValueExA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, RegOpenKeyExA
> ole32.dll: CoInitializeEx, CoCreateInstance, CoUninitialize
> OLEAUT32.dll: -, -, -

( 6 exports )
PropagateCardCerts, RemovePropagatedCerts, WLEventLock, WLEventLogoff, WLEventLogon, WLEventUnlock

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.10.0 2008.05.13 -
AntiVir 7.8.0.17 2008.05.13 -
Authentium 5.1.0.4 2008.05.13 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.12 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.12 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5783 2008.05.12 -
Ewido 4.0 2008.05.12 -
F-Prot 4.4.2.54 2008.05.13 -
F-Secure 6.70.13260.0 2008.05.13 -
Fortinet 3.14.0.0 2008.05.13 -
GData 2.0.7306.1023 2008.05.13 -
Ikarus T3.1.1.26.0 2008.05.13 -
Kaspersky 7.0.0.125 2008.05.13 -
McAfee 5293 2008.05.12 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3094 2008.05.12 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.12 -
Prevx1 V2 2008.05.13 -
Rising 20.44.10.00 2008.05.13 -
Sophos 4.29.0 2008.05.13 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.13 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.5 2008.05.12 -
VirusBuster 4.3.26:9 2008.05.12 -
Webwasher-Gateway 6.6.2 2008.05.13 -
weitere Informationen
File size: 49840 bytes
MD5...: 8957681daf16d2c5693cca516fa055a0
SHA1..: 5d7197cd807d9f0e398fca3ee78bdae9b10a7dc6
SHA256: 5633d076be7f814981963b969dee94b4dfc321aa6afe511159297e51bb289d86
SHA512: 95acb5aed33f9b255a2a7497e533831c9c68771f5002911948bc549655a56630
6d60d12bd0aa873227c7567ddac98d8deebe3009d6925f6d4d8c3c0015f5289e
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10002ad1
timedatestamp.....: 0x444d36b3 (Mon Apr 24 20:36:03 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1dde 0x2000 6.15 96bec49f990a4205e61a7f07ff632b40
.rdata 0x3000 0xa16 0x1000 3.71 014d03330451c90dd9dc328c784e1b08
.data 0x4000 0x5d0 0x1000 2.46 477672442a978f8c5138297d0b726381
.rsrc 0x5000 0x4860 0x5000 3.34 b67bf319e314b79c41c605752f8e37a9
.reloc 0xa000 0x69c 0x1000 2.09 643535d466137a2333ca2a0da2da9e55

( 5 imports )
> KERNEL32.dll: ResetEvent, SetEvent, CloseHandle, GetCurrentThreadId, GetCurrentProcessId, CreateEventA, OpenEventA, GetLocalTime, LocalFree
> ADVAPI32.dll: IsValidSid, RegCloseKey, SetSecurityDescriptorDacl, AddAccessAllowedAce, AddAccessDeniedAce, InitializeSecurityDescriptor, RegOpenKeyExA, RegQueryValueExA, GetLengthSid, InitializeAcl
> OLEAUT32.dll: -
> MSVCP60.dll: __Xlen@std@@YAXXZ, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@PBDI@Z, __Copy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXI@Z, __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __C@_1___Nullstr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@CAPBDXZ@4DB, _append@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@ABV12@II@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, _append@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@PBDI@Z, __Eos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXI@Z, __Grow@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAE_NI_N@Z
> MSVCRT.dll: sprintf, __CxxFrameHandler, strrchr, fclose, fwrite, fopen, __2@YAPAXI@Z, __dllonexit, _CxxThrowException, free, _onexit, _initterm, malloc, _adjust_fdiv, __1type_info@@UAE@XZ

( 4 exports )
WLEventLock, WLEventLogoff, WLEventLogon, WLEventUnlock

Hi,

folge diesem Thread hier (http://www.trojaner-board.de/28388-a...n-swizzor.html) (wobei ich keinen Swizzor erkennen kann) bzw. lass mal Deckhards-SystemScanner laufen:

Download dss zum Desktop (http://www.techsupportforum.com/sect...eckard/dss.exe)
Doppelklick dss.exe
Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread

Chris

EDIT: Parallel-Post....

Zitat:

Der IE startet immer wenn ich einen Link anklicke. ICQ habe ich nicht installiert.

Von wo aus (aus welchem Programm) klickst du die Links an?

Hast du unter Start->Systemsteuerung->Software->Ordneroptionen->"Dateitypen"
die html-Dateien Firefox zugewiesen?

Hallo Undoreal,

das wars, Habe die html-Dateinen Firefox zugeordnet und jetzt scheint wieder alles ok zu sein.

Besten Dank