|
Trojaner Swizzor - Bitte hijackthis log überprüfen hallo, ich hab neulich von etrust eine fehlermeldung angezeigt bekommen,in dem stand dass ich einen swizzor hab.Bei google bin ich dann hierher gekommen und hab mir die anleitung zur entfernung durchgelesen,bräuchte aber eine auswertung von meinem log,da ich mir nich ganz sicher bin was ich jetz fixen soll und was nicht. Logfile of HijackThis v1.99.1 Scan saved at 13:54:59, on 26.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\AnalogX\NetStat Live\nsl.exe C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe C:\Programme\Logitech\QuickCam10\QuickCam10.exe C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Logitech\QuickCam10\COCIManager.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.bearshare.com/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {42EFF7C3-A01F-403C-9A70-CCCDF6B18681} - C:\WINDOWS\system32\iassam32.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {F6E06902-F2EC-4FF1-603C-F9D11F6C1F6F} - C:\DOKUME~1\ANJAHA~1\ANWEND~1\Sixth Debug Plus\wipe book.exe (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\wisp O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [NetStat Live] C:\Programme\AnalogX\NetStat Live\nsl.exe O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\SHDOCVW.DLL O14 - IERESET.INF: START_PAGE_URL=h**p://www.msn.de/ O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://distanceyourselffromme.spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125416945388 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125474724593 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Windows Media Connect-Dienst (WMConnectCDS) - Unknown owner - C:\Programme\Windows Media Connect 2\wmccds.exe (file missing) hab auch einen etrust systemscan gemacht und folgende pfade von swizzor gefunden: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\closetonsboobvc\Meow team.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\closetonsboobvc\Nurb boob.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\closetonsboobvc\Saveway.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\closetonsboobvc\Start Inside.exe C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\dfwwipty.exe C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\hlpdpxci.exe C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\jjlkqbvo.exe C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\pizwzupv.exe C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\twodartgrim.exe C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\ufmfvrez.exe C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\whoggwjz.exe C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\xgjkzphr.exe C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\xlfjclks.exe C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\yjbqlqdy.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\c82b42.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ca569b.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cb5878.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cc319e.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cd0d31.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cea2f0.exe C:\Dokumente und Einstellungen***\Lokale Einstellungen\Temp\cfbf22.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\d44c4f.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\d55f04.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta29.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2A.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2B.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2C.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2D.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2E.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2F.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta30.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta31.exe hoffe das hilft weiter gruß cradlekeks |
Hallo, dein vermeidlicher swizzor ist dein geringstes Problem... Du hast diesen im System :Troj/Prorat-D - Trojaner - Sophos Bedrohungsanalyse Vuiel übler geht eigentlich nicht..... Also heißt das für dich :Neuaufsetzen und zwar zügig... ...und jammer jetzt nicht rum,von wegen "ich will nicht bitte bitte helft mir ohne Neuinstallation".... Du bist selbst schuld an deiner Misere. Wer nämlich Bearshare als Startseite hat,der hat den Schuß nicht gehört.... Irrlicht |
danke für den rat aber ich habs dann doch auch ohne neuaufsetzen hinbekommen dank einen netten freund der sich damit gut auskennt :D glg keks /e: fehlermeldungen weg,pc wieder angenehm leise,kein hängen wenn ich was anhabe,wunderbar :D |
Was ein Backdoor-Trojaner wie Prorat kann, kannst du kurz und bündig hier nachlesen. Wenn du irrlichts Empfehlung nicht gefolgt bist, werden wir uns hier wohl bald wiedersehen.:dummguck: |
Hallo, Zitat:
Einer der sich damit auskennt ? Ganz sicher nicht.... Aber ganz wie du meinst.....du mußt den Link den du von uns gepostet bekamst auch nicht lesen....sind ja nur aneinandergereihte Buchstaben...:rolleyes: Du weißt aber schon,das die Log`s hier gespeichert werden, von Typen die glauben das ihr Freund das löschen von "übelsten Dingen" draufhat...? Ist nur damit ,wenn du wiederkommst, (und du wirst wiederkommen)wir dich an deinen Freund verweisen können.... Irrlicht |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board