|
Plagegeister aller Art und deren Bekämpfung: Trojaner Downloader.Swizzor.brWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.11.2004, 12:26 | #1 |
| Trojaner Downloader.Swizzor.br Hallo ich habe auf meinem Rechner n Trojaner gefunden,bzw.Ad-Aware hat Ihn gefunden mit dem oben genannten Namen und Risikostufe Hoch ( 8 ) jetzt habe ich das Problem das ich nicht weiss wie ich ihn sicher weg bekomme da ich kein PC "Fachmann"bin hat jemand davon Ahnung und kann mir Tipps geben ? Im moment läuft bei mir Norton um zu sehen ob er Ihn findet,ein bekannter sagte da hilft nur die festplatte platt machen und XP neu installieren aber ich habe null Ahnung wie sowas geht |
04.11.2004, 12:40 | #2 |
| Trojaner Downloader.Swizzor.br Hallo MichaelS,
__________________zunächst Information zu Troj/Swizzor- Unter welchem Pfad wurde der Virus gefunden? Erstelle bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste. Lade Dir desweiteren den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) SD |
04.11.2004, 13:51 | #3 |
| Trojaner Downloader.Swizzor.br ich versuche hier das alles zu posten aber es geht nicht da es zuvile zeichen sind
__________________Wenn ich das richtig sehe müsste das der Pfad sein c:\dokumente~1\micha~1.nam\lokale~1\temp\wvyqcjro.exe Logfile of HijackThis v1.98.2 Scan saved at 13:15:00, on 04.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\PROGRA~1\0900WA~1\WARN0900.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe C:\Programme\KMaestro\KMaestro.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\CSIM\aim.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\KMaestro\WTS_KEY.EXE C:\PROGRA~1\0900WA~1\w0svc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Nokia\PC Suite for Nokia 3650\connmngmntbox.exe C:\Programme\Nokia\PC Suite for Nokia 3650\ectaskscheduler.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\unzipped\hijackthis1982\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.httbhaytpwvwv.org/xrwB3zh...JlhcJpfsw.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.com/b1redirect R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.com/b1redirect R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.1und1.com/b1redirect R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1&1 Internet AG O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\CONFLICT.2\ycomp5_3_18_0.dll O2 - BHO: (no name) - {091FD96E-1ED1-1BEF-DF47-F309C8099390} - C:\DOKUME~1\MICHA~1.NAM\ANWEND~1\WEBKNO~1\pop deaf.exe O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\CONFLICT.2\ycomp5_3_18_0.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [ServiceLayer] C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [BtcMaestro] C:\Programme\KMaestro\KMaestro.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [beep knob funk tray] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bits long beep knob\Tons Amok.exe O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT" O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [CSIM] C:\PROGRA~1\CSIM\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [RuleReal] C:\DOKUME~1\MICHA~1.NAM\ANWEND~1\GLUEVI~1\FACEMAGS.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0b\aoltray.exe |
04.11.2004, 13:54 | #4 |
| Trojaner Downloader.Swizzor.br O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\5.bin\MWSOEMON.EXE O4 - Global Startup: PCSuiteForNokia3650 Detect.lnk = ? O4 - Global Startup: PCSuiteForNokia3650 TS.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: XTNDConnect Blue Manager.lnk = ? O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.com/b1redirect O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/packages/GSManager.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095780599093 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.comp...io5_3_18_0.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab |
04.11.2004, 14:32 | #5 |
| Trojaner Downloader.Swizzor.br Das ist bei dem escan rausgekommen : File c:\Dokume~1\Micha~1.Nam\Anwend~1\WEBKNO~1\POPDEA~1.exe File c:\Dokume~1\ALLUSE~1\Anwend~1\BITSLO~1\TONSAM~1.exe Hoffe jetzt alles soweit richtig gemacht zu haben |
04.11.2004, 16:49 | #6 | |
| Trojaner Downloader.Swizzor.br @ MichaelS, überprüfe mit virusscan.jotti.dhs.org: C:\Programme\KMaestro\KMaestro.exe C:\Programme\KMaestro\WTS_KEY.EXE C:\Programme\Intuwave\Shared\mRouterRunTime\mRoute rRuntime.exe C:\DOKUME~1\MICHA~1.NAM\ANWEND~1\WEBKNO~1\pop deaf.exe C:\DOKUME~1\MICHA~1.NAM\ANWEND~1\GLUEVI~1\FACEMAGS.exe --> Ergebnis? Platform: Windows XP SP1 (WinNT 5.01.2600) Besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können. Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This: O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\5.bin\MWSOEMON.EXE O4 - Global Startup: PCSuiteForNokia3650 Detect.lnk = ? O4 - Global Startup: PCSuiteForNokia3650 TS.lnk = ? O4 - Global Startup: XTNDConnect Blue Manager.lnk = ? O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - ht*p://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab wenn Du folgende Einträge nicht kennst/brauchst bitte fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://www.httbhaytpwvwv.org/xrwB3z...kJlhcJpfsw.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://www.1und1.com/b1redirect R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://www.1und1.com/b1redirect R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ht*p://www.1und1.com/b1redirect O16 - DPF: ppctlcab - ht*p://69.44.122.156/scanner/ppctlcab.cab O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - ht*p://gamingzone.ubisoft.com/packages/GSManager.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - ht*p://us.chat1.yimg.com/us.yimg.co...v45/yacscom.cab boote in den normalen Modus. beende: msnappau.exe MWSOEMON.EXE lösche: C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll C:\Programme\MyWebSearch\bar\5.bin\MWSOEMON.EXE Aktiviere die Systemwiederherstellung, Teile uns noch das Ergebnis des eScan mit: welche Viren (NAMEN) wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es. [edit] Zitat:
SD |
Themen zu Trojaner Downloader.Swizzor.br |
ahnung, bekannter, festplatte, gefunde, hilft, installiere, installieren, meinem, namen, neu, neu installieren, norton, platte, problem, rechner, tipps, troja, trojaner, trojaner gefunden |