Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Swizzor.A (https://www.trojaner-board.de/36269-swizzor-a.html)

madmax22 13.02.2007 15:27
Swizzor.A
 
:heulen: Hallo nochmal ich glaube ich brauch doch hilfe habe mir die anleitung wie ich den Swizzor.A von mein rechner Entferne.
ich komme mit der logfile nicht klar kann mir bitte einer sagen was ich löchen muß wenn ich die logfile poste dammit ich weiter komme.

mfg.madmax22

Hir die logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:05:37, on 13.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\vsnpstd2.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\eHome\ehmsas.exe
D:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EA Link\Core.exe" -silent
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135959505312
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://bmm.imgag.com/imgag/cp/install/crusher-de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33D50C53-6E51-4DF7-B00E-250E13C35C67}: NameServer = 194.8.194.60 213.168.112.60
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

irrlicht 13.02.2007 15:38
Hallo,
erkläre bitte wie du darauf kommst eine Swizzor Infektion zu haben ?
Wer oder was hat dir das gesagt ?

Zitat:
kann mir bitte einer sagen was ich löchen muß wenn ich die logfile poste dammit ich weiter komme.
:confused:
Ich bin ein ganz großer Frauenversteher...:D aber mit dem was du schreibst, komme ich nicht klar.Ich verstehe nicht was du meinst....
Irrlicht

madmax22 13.02.2007 15:46
HI mein AntiVir :
Ein Virus oder unerwünschtes Programm 'TR/Swizzor.A' [trojan]
in der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton
nach jedem scan krig ich diese nachicht dann gehe ich davon aus das ich ein Swizzor Infektion habe.

mfg:madmax22

irrlicht 13.02.2007 16:04
Hallo,
aus der Hüfte geschossen,würde ich behaupten dein Norton hat ihn gefangen.
Allerdings sehe ich keinen Eintrag den ich mit Norton verbinden könnte.....
Folgender Vorschlag:
Google nach "alle Dateien anzeigen" und folge der Anleitung die du finden wirst.
Dann begibst du dich über Start > Arbeitsplatz > Lokaler Datenträger C > Dokumente und Einstellungen > All User > Anwendungsdaten zu dieser datei,sofern sie überhaupt existiert....
Hast du die Pfadangabe die du gepostet hast abgeschrieben oder kopiert ?
Ich meine nämlich du hast das nicht richtig abgeschrieben.....
Berichte was du gefunden hast.
Irrlicht

madmax22 13.02.2007 16:13
Hi das ist ja das was ich nicht verstehe 1. hab ich kein norton drauf 2. finde ich kein ordner ('C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton.
Ich hab mit antivir den scan gemacht.

madmax22 14.02.2007 20:26
hallo nochmal ich finde kein ordner namens \AllUsers\Anwendungsdaten\Symantec\Norton. dort soll dieser blöde Swizzor.A sein ich habe überhaupt garkein norton auf mein rechner und jetzt sitze ich immer noch auf mein problem.
ich verstehe auch nicht warum antivir diesen( 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton) ordener anzeigt!?

irrlicht 14.02.2007 20:28
Hallo,
hattest du denn jemals Symantec/Norton Produkte benutzt ?
Hast du "alle Dateien sichtbar machen" erledigt ?
Ist deine Meldung wirklich kopiert oder schreibst du die aus dem Gedächtnis ?
Der genaue Wortlaut ist sehr wichtig !
Irrlicht

madmax22 14.02.2007 21:14
hallo ich habe den ordner:'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton gefunden nach dem ich alle dateien sichtbar gemacht habe.
Kannst du mir sagen was ich jetzt machen soll?

Ps:Die meldung ist kopiert

irrlicht 14.02.2007 21:22
Hallo,
lösche den Ordner Symantek,das löscht automatisch den anderen Unterordner.
Nicht das ganze Ding platt machen !!
Hangel dich an dem angegebenen Pfad lang.
Bei jedem Schrägstrich ist immer der Ordner zu suchen der danach kommt.
Erst wenn du im Ordner Anwendungsdaten bist,darfst du ans löschen denken.Dort aber nur den Symantk Ordner plattmachen !!
Irrlicht

madmax22 14.02.2007 21:27
ok habe den ordner symantek gelöcht soll ich mit antivir ein durchlauf machen?

irrlicht 14.02.2007 21:46
jep,...aber im abgesicherten Modus bitte....
Abgesicherter Modus ist die Taste F8 beim Anschalten...
Nur "abgesicherter Modus" auswählen,nix anderes !
Irrlicht

madmax22 15.02.2007 12:43
Hallo Irrlich ich hab im Abgesicherten modus mit antivir ein scan gemacht und der Swizzor.A ist weg.
Dann hab ich noch im normal modus ein durchlauf gemacht auch kein fund! es scheint so als wäre er weg.

Dank deiner hilfe bin ich den los geworden DANKE!
Gruß madmax22 :-)

Cleriker 15.02.2007 12:48
Würde Irrlicht schon wach sein,
würde er gern noch eine Bestätigung
per LogFile haben. Würdest du Ihm
diesen Wunsch gewähren? :aplaus:

mfg Cleriker

irrlicht 15.02.2007 15:04
Hallo,
sagen wir mal so....
Hätte ich jemals einen für "Swizzor" relevanten Eintrag sehen können,hätte ich schon ein neues Log zur Erfolgskontrolle gewollt...:D
So aber würde ich sagen : geschenkt,viel Spaß beim Surfen...;)
Irrlicht
PS.
Zu der Zeit war ich schon mit meiner zweiten Pause zugange...:teufel3:


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131