![]() |
|
Log-Analyse und Auswertung: Trojaner gefunden: Agent/Swizzor/KeyloggerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
| ![]() Trojaner gefunden: Agent/Swizzor/Keylogger Hi, mein Avira AntiVir Personal hat insgesamt 11 Trojaner gefunden, die nun in der Quarantäne stecken.. ![]() Gefunden wurden: 5mal TR/Swizzor.Gen 2mal TR/Agent.833806.A 3mal TR/Agent.7280.A 1mal TR/Keylogger.aec.19 Rekord getroffen? Hoffentlich nicht. Also: bisher ist der Laptop nur etwas langsamer geworden als sonst, er wird aber mal sehr laut (Lüftung), was m.E. (! he-he) nicht umbedingt mit den Trojanern was zu tun haben sollte? ![]() Im Internet gibt es Anleitungen für den Swizzor (sogar hier im Board: http://www.trojaner-board.de/33797-hilfe-tr-dldr-swizzor-gen.html) - was ich auch gleich in Angriff nehmen werde. Aber für die Agenten und den Keylogger gab's keine Treffer (Suche über Google). Könnte jemand einen dau wie mich weiterhelfen? ![]() ![]() Das HijackThis-Log-File habe ich geschafft (auch dessen Editieren, allerdings mit den Code Tags bin ich mir nicht sicher ![]() Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:39:33, on 11.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe C:\Programme\SigmaTel\C-Major Audio\stacmon.exe C:\WINDOWS\system32\ICO.EXE C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\Apoint\Apoint.exe C:\Programme\PowerPanel\Program\PcfMgr.exe C:\Programme\Sony\HotKey Utility\HKWnd.exe C:\Programme\Apoint\Apvfb.exe C:\Programme\Apoint\Apntex.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\HP\hpcoretech\comp\hptskmgr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.club-vaio.sony-europe.com R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe -hide O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\C-Major Audio\stacmon.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: PowerPanel.lnk = ? O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://***.spaces.live.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - h**p://upload.facebook.com/controls/FacebookPhotoUploader3.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155923106062 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.studivz.net/photouploader/ImageUploader4.cab O16 - DPF: {7318A953-6BDA-4266-A2BC-A8912CD66E82} (O2DM DLMCtl Class) - h**ps://music.o2online.de/O2DM.ocx O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 9644 bytes Code:
ATTFilter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bait nurb roam real\media surf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f6b88f.qua' verschoben! C:\Dokumente und Einstellungen\***\Anwendungsdaten\book global hope\ckqeyogx.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a03b8bf.qua' verschoben! C:\Dokumente und Einstellungen\***\Eigene Dateien\Kyrillischhilfe_3.5.exe [FUND] Ist das Trojanische Pferd TR/Keylogger.aec.19 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a04b9ac.qua' verschoben! C:\Programme\Winamp\Winamp5pro\WinAmp5_PLUGINS\DFX_7_for_Winamp.exe [FUND] Ist das Trojanische Pferd TR/Agent.833806.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49eaca99.qua' verschoben! C:\System Volume Information\_restore{DD501D7F-D412-4692-A97B-6B2DA76A924F}\RP322\A0047128.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c2cab5.qua' verschoben! C:\System Volume Information\_restore{DD501D7F-D412-4692-A97B-6B2DA76A924F}\RP322\A0047129.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c2cab6.qua' verschoben! C:\System Volume Information\_restore{DD501D7F-D412-4692-A97B-6B2DA76A924F}\RP323\A0047131.exe [FUND] Ist das Trojanische Pferd TR/Agent.833806.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c2cab7.qua' verschoben! Beginne mit der Suche in 'D:\' <DATA> D:\INSTALLER\ACdsee5\acdseecrack.zip [0] Archivtyp: ZIP --> Bockwurst.KeyGen.exe [FUND] Ist das Trojanische Pferd TR/Agent.7280.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f6d39a.qua' verschoben! D:\INSTALLER\ACdsee5\Bockwurst.KeyGen.exe [FUND] Ist das Trojanische Pferd TR/Agent.7280.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f5d3a7.qua' verschoben! D:\System Volume Information\_restore{DD501D7F-D412-4692-A97B-6B2DA76A924F}\RP323\A0047132.exe [FUND] Ist das Trojanische Pferd TR/Agent.7280.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c2d4de.qua' verschoben! Würde mich freuen, wenn jemand damit was anfangen könnte! ![]() Mit trojanerangehauchten (dennoch sonnigen..) Grüßen, Henri77 |
Themen zu Trojaner gefunden: Agent/Swizzor/Keylogger |
adobe, antivir, avira, bho, computer, defender, desktop, einstellungen, excel, firefox, google, hijack, hkus\s-1-5-18, internet, internet explorer, lüftung, mozilla, netgear, nicht sicher, object, rojaner gefunden, rundll, sehr laut, server, software, solution, system, trojaner, trojaner gefunden, virus, windows, windows xp |