| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TrojanDownloader.Win32.Swizzor.bqWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.09.2004, 17:54
| #1 |
| |  TrojanDownloader.Win32.Swizzor.bq Hallo zusammen ! Habe mich eben erst angemeldet, nachdem ich schon eine ziemliche "Odyssee" hinter mir habe... Seit ein paar tTagen versuche ich vergebens, einen Trojaner los zu werden, der sich aber scheinbar so gut versteckt, dass ich ihn auch mit Hilfe eines anderen Forenmitgliedes ned los geworden bin ! Ich habe WinXP auf meinem Rechner und surfe mit dem IE (schlagt mich ned - weiß jemand ob und wie ich Favoriten exportieren kann ? Würde den Firefox nutzen, wenn ich meine -zig Favoriten irgendwie übertragen könnte - sind ziemlich viele...  ).Habe schon eine ganze Reihe von Versuchen gestartet, u.a. mit Spybot, fixen mit HijackThis!, durchforsten mit AdAware etc., etc. .. Schaut vielleicht etwas doof aus, aber wenn es in Ordnung ist, poste ich hier mal den Link zu dem Thread eines anderen Forums in dem ich um Hilfe ersucht hatte. Dort sind auch alle Infos zu den bisherigen Säuberungsaktionen zu finden. Hoffe, des iss keine zu blöde Idee ?!? Den Link setze ich ans Ende des Postings... Nach endlosen Versuchen mit Löschen, Umbenennen, in Quarantäne schicken etc. verschiedenster Dateien habe ich noch immer das gleiche Problem: -Ständig neue Startseiten wie z.B. http:// www. idfvjhvhoghlhhgilejlfj. de oder so :-) ... -Neue Einträge bei den Favoriten... -Meistens eine, manchmal 2 neue Toolbars bei Aufruf des Browsers -PopUp-Fenster verschiedener Art bei IE Start -neue Desktop-Verknüpfungen zu Casino / Travel / Onlinegaming etc... Nach einem zuletzt durch geführten Online-Virenscan mit Kaspersky wurde in der Datei GPL DATE EGGS BASE angezeigt, dass eine mögliche Infizierung mit TrojanDownloader.Win32.Swizzor.bq vorliegt. Die darin befindlichen Dateien playbase.exe und Tool great.exe konnten aber zum Scan nicht geöffnet werden. Habe per Google nix zu TrojanDownloader.Win32.Swizzor.bq gefunden... Weiß jemand Rat`????????? Freue mich über jede Hilfe ! LG, Nev Hilfe-Thread Computerforum Mein aktuelles Logfile sieht so aus: Logfile of HijackThis v1.98.2 Scan saved at 19:17:00, on 3.9.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\LXSUPMON.EXE C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\inKline Global\PC Booster\pcbooster.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\ScanPanel\ScnPanel.exe C:\Programme\WinZip\WZQKPICK.EXE F:\Aktenkoffer\Zip Programm-Dateien\antivirus\anti spyware werbung etc\hijack this\HijackThis19802.exe C:\WINDOWS\System32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {3A314E2D-57FC-C23E-7B0D-E51DCB55C372} - C:\PROGRA~1\SKIPMU~1\Meow Drive.exe O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar8.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar8.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [mouseElf] C:\Programme\Genius NetScroll + Series Mouse\mouseElf.exe O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar8.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar8.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar8.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar8.dll/cmsimilar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.strato.de/dsl/ O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/...LER_loader.exe Geändert von nevwethiel (03.09.2004 um 18:23 Uhr) |
|
04.09.2004, 13:03
| #2 |
| | TrojanDownloader.Win32.Swizzor.bq Hallo zusammen !
__________________Hat denn niemand eine Idee ? Würde mich über einen Tipp echt freuen... LG, Nev |
|
04.09.2004, 13:33
| #3 |
   | TrojanDownloader.Win32.Swizzor.bq Ich denke mal, der Trojaner stammt aus dieser Familie (die Namen variieren leider je nach Hersteller):
__________________http://www.sophos.de/virusinfo/analy...jswizzorg.html http://www.f-secure.com/v-descs/swizzor.shtml Deaktiviere die Systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html Fixe mit HJT: C:\Programme\Messenger Plus! 3\MsgPlus.exe (Task beenden vorher) O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" Was ist dieser Eintrag, gehört er von zu dir installierter Software? Wenn nein, fixen: O2 - BHO: (no name) - {3A314E2D-57FC-C23E-7B0D-E51DCB55C372} - C:\PROGRA~1\SKIPMU~1\Meow Drive.exe Du hast offensichtlich E-Scan, hast du es mal im abgesicherten Modus lauen lassen? http://www.trojaner-board.de/42731-escan-anleitung.html Systemwiederherstellung dann wieder aktivieren. |
|
| Themen zu TrojanDownloader.Win32.Swizzor.bq |
| .inf, ?????, adobe, antivirus, antivirus scan, bho, excel, firefox, google, hijack, hijack this, hijackthis, hilfe, internet, internet explorer, kaspersky, logfile, meinem, nvcpl.dll, problem, quara, rundll, scan, software, spyware, symantec, system, toolbars, trojaner, träge, werbung, windows, windows messenger, windows xp |
Linear-Darstellung
