Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner Swizzor - Bitte hijackthis log überprüfen (https://www.trojaner-board.de/36638-trojaner-swizzor-bitte-hijackthis-log-ueberpruefen.html)

cradlekeks 26.02.2007 15:06

Trojaner Swizzor - Bitte hijackthis log überprüfen
 
hallo,

ich hab neulich von etrust eine fehlermeldung angezeigt bekommen,in dem stand dass ich einen swizzor hab.Bei google bin ich dann hierher gekommen und hab mir die anleitung zur entfernung durchgelesen,bräuchte aber eine auswertung von meinem log,da ich mir nich ganz sicher bin was ich jetz fixen soll und was nicht.


Logfile of HijackThis v1.99.1
Scan saved at 13:54:59, on 26.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AnalogX\NetStat Live\nsl.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Logitech\QuickCam10\COCIManager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {42EFF7C3-A01F-403C-9A70-CCCDF6B18681} - C:\WINDOWS\system32\iassam32.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {F6E06902-F2EC-4FF1-603C-F9D11F6C1F6F} - C:\DOKUME~1\ANJAHA~1\ANWEND~1\Sixth Debug Plus\wipe book.exe (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\wisp
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NetStat Live] C:\Programme\AnalogX\NetStat Live\nsl.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\SHDOCVW.DLL
O14 - IERESET.INF: START_PAGE_URL=h**p://www.msn.de/
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://distanceyourselffromme.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125416945388
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125474724593
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Media Connect-Dienst (WMConnectCDS) - Unknown owner - C:\Programme\Windows Media Connect 2\wmccds.exe (file missing)




hab auch einen etrust systemscan gemacht und folgende pfade von swizzor gefunden:


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\closetonsboobvc\Meow team.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\closetonsboobvc\Nurb boob.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\closetonsboobvc\Saveway.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\closetonsboobvc\Start Inside.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\dfwwipty.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\hlpdpxci.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\jjlkqbvo.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\pizwzupv.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\twodartgrim.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\ufmfvrez.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\whoggwjz.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\xgjkzphr.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\xlfjclks.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\idle tons\yjbqlqdy.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\c82b42.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ca569b.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cb5878.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cc319e.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cd0d31.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cea2f0.exe
C:\Dokumente und Einstellungen***\Lokale Einstellungen\Temp\cfbf22.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\d44c4f.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\d55f04.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta29.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2A.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2B.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2C.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2D.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2E.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta2F.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta30.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sta31.exe


hoffe das hilft weiter


gruß cradlekeks

irrlicht 26.02.2007 15:17

Hallo,
dein vermeidlicher swizzor ist dein geringstes Problem...
Du hast diesen im System :Troj/Prorat-D - Trojaner - Sophos Bedrohungsanalyse

Vuiel übler geht eigentlich nicht.....
Also heißt das für dich :Neuaufsetzen und zwar zügig...
...und jammer jetzt nicht rum,von wegen "ich will nicht bitte bitte helft mir ohne Neuinstallation"....
Du bist selbst schuld an deiner Misere.
Wer nämlich Bearshare als Startseite hat,der hat den Schuß nicht gehört....
Irrlicht

cradlekeks 01.03.2007 21:49

danke für den rat aber ich habs dann doch auch ohne neuaufsetzen hinbekommen dank einen netten freund der sich damit gut auskennt :D

glg keks

/e: fehlermeldungen weg,pc wieder angenehm leise,kein hängen wenn ich was anhabe,wunderbar :D

Franz1968 01.03.2007 21:59

Was ein Backdoor-Trojaner wie Prorat kann, kannst du kurz und bündig hier nachlesen. Wenn du irrlichts Empfehlung nicht gefolgt bist, werden wir uns hier wohl bald wiedersehen.:dummguck:

irrlicht 01.03.2007 23:06

Hallo,
Zitat:

dank einen netten freund der sich damit gut auskennt
Ein Freund ? vielleicht....
Einer der sich damit auskennt ? Ganz sicher nicht....
Aber ganz wie du meinst.....du mußt den Link den du von uns gepostet bekamst auch nicht lesen....sind ja nur aneinandergereihte Buchstaben...:rolleyes:
Du weißt aber schon,das die Log`s hier gespeichert werden, von Typen die glauben das ihr Freund das löschen von "übelsten Dingen" draufhat...?
Ist nur damit ,wenn du wiederkommst, (und du wirst wiederkommen)wir dich an deinen Freund verweisen können....
Irrlicht


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131