Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner gefunden: Agent/Swizzor/Keylogger

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Alt 11.02.2009, 17:18   #1
Henri77
 
Trojaner gefunden: Agent/Swizzor/Keylogger - Ausrufezeichen

Trojaner gefunden: Agent/Swizzor/Keylogger



Hi,
mein Avira AntiVir Personal hat insgesamt 11 Trojaner gefunden, die nun in der Quarantäne stecken..

Gefunden wurden:
5mal TR/Swizzor.Gen
2mal TR/Agent.833806.A
3mal TR/Agent.7280.A
1mal TR/Keylogger.aec.19

Rekord getroffen? Hoffentlich nicht. Also: bisher ist der Laptop nur etwas langsamer geworden als sonst, er wird aber mal sehr laut (Lüftung), was m.E. (! he-he) nicht umbedingt mit den Trojanern was zu tun haben sollte?
Im Internet gibt es Anleitungen für den Swizzor (sogar hier im Board: http://www.trojaner-board.de/33797-hilfe-tr-dldr-swizzor-gen.html) - was ich auch gleich in Angriff nehmen werde. Aber für die Agenten und den Keylogger gab's keine Treffer (Suche über Google).

Könnte jemand einen dau wie mich weiterhelfen?


Das HijackThis-Log-File habe ich geschafft (auch dessen Editieren, allerdings mit den Code Tags bin ich mir nicht sicher ) Ich hoffe der Log erscheint trotzdem einigermaßen lesbar im Forum:


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:39:33, on 11.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Apoint\Apvfb.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.club-vaio.sony-europe.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe -hide
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://***.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - h**p://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155923106062
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {7318A953-6BDA-4266-A2BC-A8912CD66E82} (O2DM DLMCtl Class) - h**ps://music.o2online.de/O2DM.ocx
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll
O20 - AppInit_DLLs:  sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 9644 bytes
         
Und hier noch die Befunde mit Avira AntiVir Personal (also nicht der ganze Bericht):

Code:
ATTFilter
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bait nurb roam real\media surf.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f6b88f.qua' verschoben!
C:\Dokumente und Einstellungen\***\Anwendungsdaten\book global hope\ckqeyogx.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a03b8bf.qua' verschoben!
C:\Dokumente und Einstellungen\***\Eigene Dateien\Kyrillischhilfe_3.5.exe
    [FUND]      Ist das Trojanische Pferd TR/Keylogger.aec.19
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a04b9ac.qua' verschoben!
C:\Programme\Winamp\Winamp5pro\WinAmp5_PLUGINS\DFX_7_for_Winamp.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.833806.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49eaca99.qua' verschoben!
C:\System Volume Information\_restore{DD501D7F-D412-4692-A97B-6B2DA76A924F}\RP322\A0047128.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c2cab5.qua' verschoben!
C:\System Volume Information\_restore{DD501D7F-D412-4692-A97B-6B2DA76A924F}\RP322\A0047129.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c2cab6.qua' verschoben!
C:\System Volume Information\_restore{DD501D7F-D412-4692-A97B-6B2DA76A924F}\RP323\A0047131.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.833806.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c2cab7.qua' verschoben!
Beginne mit der Suche in 'D:\' <DATA>
D:\INSTALLER\ACdsee5\acdseecrack.zip
    [0] Archivtyp: ZIP
    --> Bockwurst.KeyGen.exe
      [FUND]      Ist das Trojanische Pferd TR/Agent.7280.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f6d39a.qua' verschoben!
D:\INSTALLER\ACdsee5\Bockwurst.KeyGen.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.7280.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f5d3a7.qua' verschoben!
D:\System Volume Information\_restore{DD501D7F-D412-4692-A97B-6B2DA76A924F}\RP323\A0047132.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.7280.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c2d4de.qua' verschoben!
         

Würde mich freuen, wenn jemand damit was anfangen könnte!


Mit trojanerangehauchten (dennoch sonnigen..) Grüßen,
Henri77

 

Themen zu Trojaner gefunden: Agent/Swizzor/Keylogger
adobe, antivir, avira, bho, computer, defender, desktop, einstellungen, excel, firefox, google, hijack, hkus\s-1-5-18, internet, internet explorer, lüftung, mozilla, netgear, nicht sicher, object, rojaner gefunden, rundll, sehr laut, server, software, solution, system, trojaner, trojaner gefunden, virus, windows, windows xp




Ähnliche Themen: Trojaner gefunden: Agent/Swizzor/Keylogger


  1. Adware/Agent.1908736 und Keylogger gefunden
    Plagegeister aller Art und deren Bekämpfung - 04.04.2013 (1)
  2. Mit Malwarebytes Backdoor/Agent ; Trojaner/Agent gefunden. Was Tun?
    Log-Analyse und Auswertung - 05.03.2013 (18)
  3. Trojaner gefunden: Win 32:Patcher [Trj], Win.Trojan.Agent-36124, Win.Trojan.Agent-44393
    Log-Analyse und Auswertung - 02.02.2013 (7)
  4. mehrere Trojaner gefunden: Spy.Agent.OGS, Spy.Banker.Gen2, Graftor.9201.6, Agent.237568.6
    Log-Analyse und Auswertung - 20.12.2011 (23)
  5. Trojaner Agent.RUO.6 gefunden
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (12)
  6. Trojaner Agent.RUO.6 gefunden
    Plagegeister aller Art und deren Bekämpfung - 06.04.2010 (1)
  7. Trojaner TR/Agent.ruo auf dem PC gefunden
    Mülltonne - 30.03.2010 (3)
  8. 7 Trojaner gefunden. u.a. TR/Agent.692736, TR/Agent.AO.808, TR/Disabler.NAJ.44..
    Plagegeister aller Art und deren Bekämpfung - 26.03.2010 (2)
  9. TR/Agent.avkg ! Keylogger? Bin nun clean?
    Plagegeister aller Art und deren Bekämpfung - 08.01.2009 (4)
  10. Trojaner: Win32.KeyLogger, Win32.GreenScreen,Win32.Agent, Win32Tiny, HTML.Bankfraud
    Log-Analyse und Auswertung - 29.09.2008 (1)
  11. TR/Dldr.Swizzor.Gen auf PC gefunden
    Antiviren-, Firewall- und andere Schutzprogramme - 19.05.2008 (5)
  12. Trojaner TR/Dldr.Swizzor.Gen gefunden - bitte um Hilfe!
    Log-Analyse und Auswertung - 29.03.2008 (5)
  13. Trojaner gefunden! TR/BHO.Agent.mio
    Plagegeister aller Art und deren Bekämpfung - 23.03.2008 (19)
  14. TR/Dldr.Swizzor.Gen gefunden?!
    Plagegeister aller Art und deren Bekämpfung - 19.10.2007 (1)
  15. Troj. Pferd: Dldr.Swizzor.Gen gefunden
    Plagegeister aller Art und deren Bekämpfung - 14.09.2007 (4)
  16. Trojaner TR/RKit.Agent.DW.2 gefunden :/
    Log-Analyse und Auswertung - 24.03.2007 (1)
  17. agent.is, swizzor.co und neuinstalation nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 30.05.2005 (5)

Zum Thema Trojaner gefunden: Agent/Swizzor/Keylogger - Hi, mein Avira AntiVir Personal hat insgesamt 11 Trojaner gefunden, die nun in der Quarantäne stecken.. Gefunden wurden: 5mal TR/Swizzor.Gen 2mal TR/Agent.833806.A 3mal TR/Agent.7280.A 1mal TR/Keylogger.aec.19 Rekord getroffen? Hoffentlich nicht. - Trojaner gefunden: Agent/Swizzor/Keylogger...
Archiv
Du betrachtest: Trojaner gefunden: Agent/Swizzor/Keylogger auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.