|
Hallo, bin bei Google über diese Seite gestolpert, weil ich einen Trojaner habe, der sich nicht entfernen lässt. TR/Swicer.1 Ich habe meinen PC auch erst gestern neu gemacht deshalb verstehe ich nicht wie ich so schnell an einen Trojaner komme. Ist es möglich, dass ich den mit auf Cd gebrannt habe? Und wer kann mir helfen dass ich den beseitigt bekomme, weil der Trojaner noch recht unbekannt ist wie mir scheint. Und im Taskmanager läuft auch auch die smss.exe und jede menge anderer dateien womit ich nichts anfangen kann :( Thx Summer [ 03. Januar 2004, 14:10: Beitrag editiert von: Summerwind1980 ] |
Hallo Summerwind, kann es sein, daß Du Dir ein Programm namens "Messenger Plus" installiert hast? Folgendes hab ich gefunden: (ein paar Auszüge) Zitat: Chris installed messenger plus the other night and found out that if he did the automatic installation spyware/adware would be installed. In my mind there are two types of spyware/adware and they're not even categorized by the way they work. I separate them by the company policy, spyware/adware is bad when the company DOESN'T tell you they're installing it. This, unfortunately, is the case with most spyware/adware and its why its hated so often. If you run AVG and use the automatic installation for Messenger Plus AVG will tell you that there's a dropper.swicer.a trojan. After doing multiple searches, I couldn't find much information on the trojan except that it was associated with Messenger Plus. http://www.danieltse.com/weblog/2003_11_23_old2.html Weiters: http://download.com.com/3302-2150_4-...html?pn=2&fb=0 Zitat: Since I installed Messenger Plus! on my computer I noticed advertisement programs, why? back to top Messenger Plus! now comes with an optional sponsor program. This program will show ads from time to time on your computer and will change your start page in Internet Explorer. In NO case this sponsor is mandatory. If you don't want it, simply uncheck the sponsor box during setup. If you installed it be error, just uninstall Messenger Plus! (which will trigger the sponsor uninstall program) and reinstall without the sponsor. Important: if you wish to get rid of the sponsor program, you must uninstall Messenger Plus! from the usual Add/Remove program window. Don't worry, you'll be able to reinstall it later and chose not to install the sponsor anymore. If you start deleting files on your own you will prevent a full system restore as some of the files copied by the sponsor are backups of your original configuration files. For detailed instructions, check out special posts on the forum. http://www.msgplus.net/index.php?vie...pand=2#install Spezieller Forumseintrag Ob man dem glauben kann, oder nicht :confused: Solltest Du den "Messenger Plus" nicht installiert haben, oder es sich um einen anderen Schädling handelt....tja. Ich hab einfach nach "swicer" gesucht [img]graemlins/crazy.gif[/img] http://www.google.at/search?q=swicer...8&start=0&sa=N Gruß Schlumpfi |
Msn Plus hab ich, aber auch erst seit gestern, weil ich format C: hinter mir hab. Und seitdem habe ich noch keine emails mit anhang bekommen (und die ich nicht kenne öffne ich eh nicht) hmmm.. also msn plus wieder deinstallieren, wenn ich das recht verstanden hab? |
Hallo! Wo genau wird denn der Trojaner gemeldet (Datei/Ordner)? Überprüfe die Datei bitte einmal zusätzlich hier: http://www.kaspersky.com/de/remoteviruschk.html Ggf. erstelle ein HijackThis Logfile, dann sollte man mehr sehen können. [ 03. Januar 2004, 18:50: Beitrag editiert von: mmk ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Summerwind1980: Ist es möglich, dass ich den mit auf Cd gebrannt habe?</font>[/QUOTE]Moin, ja, das ist gut möglich und in nach Deinen Beschreibungen ziemlich wahrscheinlich. Wie hast Du denn Dein System neu aufgesetzt? Mit einem Image oder komplett neu? </font><blockquote>Zitat:</font><hr />Und im Taskmanager läuft auch auch die smss.exe und jede menge anderer dateien womit ich nichts anfangen kann</font>[/QUOTE]Die smss.exe ist kein Virus, sondern eine Systemdatei!! Zu den anderen Prozessen die Dir unbekannt sind, empfehle ich auch Dir mal einen Scan mit HijackThis. Das Ergebnis (die Log-Datei) kannst Du hierhin kopieren und wir schauen uns das mal an. Die Frage von mmk möchte ich gerne noch ergänzen um wer (also welches Programm) meldet Dir den Trojaner?! tschööö, DerBilk |
Logfile of HijackThis v1.97.7 Scan saved at 19:18:45, on 03.01.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Messenger Plus! 2\MsgPlus.exe C:\PROGRA~2\AUTOUP~1\AUTOUP~1.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\MSN Messenger\msnmsgr.exe C:\Dokumente und Einstellungen\Yvonne\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CYB94ZI4\HijackThis[1].exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.knuddels.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html O2 - BHO: (no name) - {ff9a639f-2ce4-4d25-9420-e9d188b57478} - C:\DOKUME~1\Yvonne\ANWEND~1\lombreedri.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ouststtgoad - {d69857f7-71ea-4bff-98b3-9911c9ad03cf} - C:\DOKUME~1\Yvonne\ANWEND~1\lombreedri.dll O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe" O4 - HKLM\..\Run: [zeedro] C:\DOKUME~1\Yvonne\ANWEND~1\glbllous.exe -QuieT O4 - HKLM\..\Run: [AutoUpdater] C:\PROGRA~2\AUTOUP~1\AUTOUP~1.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\Dokumente und Einstellungen\Yvonne\Anwendungsdaten\apropos.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.trojanscan.com/trojanscan/TDECntrl.CAB O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...989.2580902778 O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{79FC1097-F903-4603-920F-AEC93B265B7B}: NameServer = 212.185.248.180 194.25.2.129 Außerdem befindet sich der Trojaner immer woanders... der wandert... wurd gelöscht, taucht aber kurze zeit später woanders wieder auf... 03.01.2004,18:49 [WARNUNG] Ist das Trojanische Pferd TR/Swicer.2! C:\SYSTEM VOLUME INFORMATION\_RESTORE{6DC56662-22E5-4294-91D3-BF2D1E411F03}\RP6\A0002709.EXE |
Edit: Hast du die Datei glbllous.exe schon mit dem genannten Online-Check geprüft? Bitte erstmal machen! Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) ->> Das System ist ungepatcht! Dringend nachholen. Das Folgende Löschen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html O2 - BHO: (no name) - {ff9a639f-2ce4-4d25-9420-e9d188b57478} - C:\DOKUME~1\Yvonne\ANWEND~1\lombreedri.dll O3 - Toolbar: ouststtgoad - {d69857f7-71ea-4bff-98b3-9911c9ad03cf} - C:\DOKUME~1\Yvonne\ANWEND~1\lombreedri.dll O4 - HKLM\..\Run: [zeedro] C:\DOKUME~1\Yvonne\ANWEND~1\glbllous.exe -QuieT Prüfe die Datei hinter diesem Eintrag: O4 - HKLM\..\Run: [AutoUpdater] C:\PROGRA~2\AUTOUP~1\AUTOUP~1.EXE O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\Dokumente und Einstellungen\Yvonne\Anwendungsdaten\apropos.exe" </font><blockquote>Zitat:</font><hr />Außerdem befindet sich der Trojaner immer woanders... der wandert... wurd gelöscht, taucht aber kurze zeit später woanders wieder auf...</font>[/QUOTE]Nein, die letzte Meldung besagt nur, dass sich eine Kopie in der Systemwiederherstellung befindet. |
O4 - HKLM\..\Run: [AutoUpdater] C:\PROGRA~2\AUTOUP~1\AUTOUP~1.EXE O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\Dokumente und Einstellungen\Yvonne\Anwendungsdaten\apropos.exe" habe ich mit norton überprüft und nix gefunden. was sind das für dateien? |
Bei den letzten beiden vermute ich Adware. Edit: Der erste ist ein Hijacker: http://www.pestpatrol.com/PestInfo/p/peopleonpage.asp Der zweite auch / dazugehörend: http://www.doxdesk.com/parasite/AproposMedia.html http://www.pestpatrol.com/PestInfo/p...roposmedia.asp Tipp: Browserwechsel! Bitte nicht mit Norton prüfen, sondern hier (die besagte glbllous.exe): http://www.kaspersky.com/de/remoteviruschk.html [ 03. Januar 2004, 19:49: Beitrag editiert von: mmk ] |
Zu überprüfende Datei: AutoUpdate.exe AutoUpdate.exe Ok Zu überprüfende Datei: libexpat.dll libexpat.dll Ok Zu überprüfende Datei: apropos.exe apropos.exe Infiziert: TrojanDownloader.Win32.Apropo Statistiken: -------------------------------------------------------------------------------- Bekannte Viren: 80303 Updated: 3.01.2004 Größe der Datei (Kb): 68 Scan-Zeit: 00:00:01 Geschwindigkeit (Kb/sek): 69 Viren-Bodies: 1 Archive: 0 Komprimiert: 0 Verzeichnisse: 0 Datei: 1 Verdächtigt: 0 Warnungen: 0 diese glbllous.exe is schon gelöscht |
OK, alle löschen (auch die beiden, die als "nicht infiziert" angezeigt wurden - sie sind Adware, und in den normalen Signaturen nicht erfasst, wenn überhaupt). Wenn alles gelöscht ist, deaktiviere die Systemwiederherstellung in Windows (!), starte den PC neu. Prüfe nun mit HijackThis noch einmal nach, ob alle genannten Einträge / Dateien entfernt wurden. Falls ja: Reaktiviere die Systemwiederherstellung und starte den PC abermals neu. Bedenke, dass dein System mit mind. einem Trojaner kompromittiert war. Das heißt mindestens Zugangsdaten / Passwörter ändern bzw. um ganz sicher zu gehen, das System neu aufzustzen. Vorher formatieren und dann keine ausführbaren Dateien aus dem verseuchten System (von der CD) zurückspielen. Das heißt zukünftig ferner, eine sinnvolle Systemkonfiguration vorzunehmen ( http://www.ntsvcfg.de ), das System stets upzudaten und möglichst auf den IE und Outlook zu verzichten. Wichtig!: Die auf http://www.ntsvcfg.de beschriebenen Maßnahmen müssen durchgeführt werden, bevor du mit dem frisch aufgesetzten System das erste Mal ins Netz gehst. Des weiteren sind weder AntiVir noch Norton AV empfehlenswerte Virenscanner, wenn es um die Erkennungsleistung geht. |
System kann ich nicht updaten, auch keine servicepacks... hab ansonsten alles gemacht und jetzt auch eine Firewall von Zonealarm drauf. also die genannten dateien sind weg. jetzt muss ich nur gucken, welche dateien von meiner cd (wenn es von cd ist) infiziert sind. hab ja erst format C: gemacht deshalb wundert mich dass ich schon nen troja hab... |
</font><blockquote>Zitat:</font><hr />Original erstellt von Summerwind1980: System kann ich nicht updaten, auch keine servicepacks...</font>[/QUOTE]Warum nicht? </font><blockquote>Zitat:</font><hr />hab ansonsten alles gemacht und jetzt auch eine Firewall von Zonealarm drauf.</font>[/QUOTE]Scheinsicherheit. Ineffizient. Nicht empfehlenswert. </font><blockquote>Zitat:</font><hr />jetzt muss ich nur gucken, welche dateien von meiner cd (wenn es von cd ist) infiziert sind. hab ja erst format C: gemacht deshalb wundert mich dass ich schon nen troja hab...</font>[/QUOTE]Befinden sich denn ausführbare Dateien auf der CD (Programme, etc.)? Scanne diese CD mal mit aktuellem Kaspersky. Wenn auch nur eine ausführbare Datei als Malware erkannt wird (und das sollte ja der Fall sein, wenn genau dieser Trojaner auch von der CD kam), dann solltest du KEINE der auf der CD befindlichen Programme mehr installieren. |
servicepack versucht zu installieren, sagt geht nicht weil der key ungültig ist... :rolleyes: und klar sind auf der cd proggis, hab ja alles gesichert vor meinem Format C: muss den gestern um 19.41 erstellt haben aber woher soll ich wissen was ich um die uhrzeit gemacht hab... [img]graemlins/heulen.gif[/img] |
hast du eine originalversion, oder ne raubkopie am laufen? ;) [img]graemlins/teufel3.gif[/img] |
weiß ich nicht, hab das machen lassen und extra jemanden von 120 km Entfernung komman lassen. hat mich auch genug gekostet, der hat das installiert und ging wieder.. und scheiß format C: nur weil java nicht mehr ging :rolleyes: |
hi summerwind1980, aber bitte nicht weinen: es ist noch keiner gestorben ;) und ein neu aufgerichtetes Systm kann nur ein Grund zur Freude sein.. Hast du dein neu installiertes System aktiviert, bzw. wurde bei der Installation nach dem Aktivierungsschlüssel gefragt? |
:confused: ich hab nix gemacht nur meine zugangsdaten fürs internet angegeben ... ich weiß nicht was der da gewurschtelt hat weil ich da keine ahnung von habe. installiert hat er und ich hab zugangsdaten gesucht für internet... :( habs jedenfalls versucht diese 45 updates zu installieren und ging nicht. |
ob eine originalversion hast, erkennst du an verschiedenen merkmalen: genaueres zu ms-originalsoftware findest du hier: http://www.microsoft.com/germany/ms/...tion/index.htm man unterscheidet retail und sb / dsp. retail-versionen sind die verpackungseinheiten, die man im handel mit schachtel erwerben kann retailversionen haben solche echtheitszertifikate mitgeliefert: http://www.microsoft.com/germany/ms/...retail_coa.htm sb / dsp sind systembuilder-versionen. diese versionen haben nicht so einen grossen liefer- und leistungsumfang (richtung garantie von ms) wie die retail-versionen, sind daher günstiger, aber wichtig: der funktionsumfang ist immer identisch mit der (produktgleichen) retail-version. es kann auch sein, dass eine hersteller-cd geliefert wird (eine recovery-cd). die cd sieht dann optisch anders aus (aber immer gedruckt, kein rohling mit handschrift oder ähnliches), und auch der aufkleber mit dem cd-key wird mitgeliefert (ist in diesem falle meistens am pc aufgeklebt). sb / dsp / recovery-versionen haben solche echtheitszertifikate mitgeliefert: http://www.microsoft.com/germany/ms/...ale/sb_coa.htm wenn keines dieser merkmale zutrifft, dann hast du wahrscheinlich eine raubkopie am laufen. woher die stammt, und was sie enthält, weiss keiner (jedenfalls sicher nicht aus einer sicheren quelle). bedenke: unwissenheit schütz nicht vor strafe! der erste schritt hierbei (vor dem installieren) wäre der erwerb entsprechender originalsoftware (tipp: kauf die eine dsp-version, die sind günstiger). wenn du eine retail-version mit diesem problem (mit dem key) hast, dann wende dich an microsoft, wenn du eine sb / dsp / recovery-version hast, dann wende dich an deinen pc-händler. die key-abfrage bei sp1 ist IIRC eine zusätzliche massnahme gewesen, um raubkopien unschädlich zu machen. [img]graemlins/teufel3.gif[/img] |
äääh ja :confused: danke... |
nicht danken, lesen - nachschauen - dementsprechend reagieren! ;) vor allem, wenn du möglicherweise eine raubkopie benutzt (das ist kein kavaliersdelikt!) es ist eine einfache formel: ohne originalsoftware -> keine windows-updates (und sp1 gehört nunmal dazu). ohne windows-updates -> keine problemlösung. wie würde tv-kaiser sagen: "ein teufelskreis, meine damen und herren!" :cool: [img]graemlins/teufel3.gif[/img] |
Ja, Computer lösen nur die Probleme die man ohne sie nicht hätte, aber den vielen Problemen mit dem Rechner sollte ich den am besten gleich im See versenken und mir nen neuen kaufen. also ich hab kein zertifikat gefunden, das heißt dass der *zensiert* (wollt es so net sagen) mir doch ne raubkopie draufgepackt hat. (er meinte ja wäre alles geupdatet) aber auf euren tip hin hab ich es ja versucht und der hat die installation abgebrochen. scheiß Teufelskreis. aber ok, trojas scheinen alle weg zu sein und mein Zonealarm sagt mir auch dass er 111 eindringungsversuche verhindert hat, 49 davon warnungen ernsten ranges. dann hoff ich mal dass keine weitere meldung mehr kommt, weil sonst... [img]graemlins/kloppen.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Summerwind1980: [...] aber den vielen Problemen mit dem Rechner sollte ich den am besten gleich im See versenken und mir nen neuen kaufen.</font>[/QUOTE]Nein, so weit muss man nicht gehen - allenfalls sich Leute suchen, die einen nicht über's Ohr hauen, womöglich (!) raubkopierte Software als lizensierte anpreisen und dafür auch noch Geld verlangen. Mir fehlen ob so viel Dreistigkeit echt dir Worte. :-/ </font><blockquote>Zitat:</font><hr />also ich hab kein zertifikat gefunden, das heißt dass der *zensiert* (wollt es so net sagen) mir doch ne raubkopie draufgepackt hat. (er meinte ja wäre alles geupdatet) aber auf euren tip hin hab ich es ja versucht und der hat die installation abgebrochen. scheiß Teufelskreis.</font>[/QUOTE]Dann verlang dein Geld zurück und kauf dir dafür eine legale Version. </font><blockquote>Zitat:</font><hr />aber ok, trojas scheinen alle weg zu sein</font>[/QUOTE]Das kann man leider so definitiv nicht sagen. </font><blockquote>Zitat:</font><hr />und mein Zonealarm sagt mir auch dass er 111 eindringungsversuche verhindert hat, 49 davon warnungen ernsten ranges. dann hoff ich mal dass keine weitere meldung mehr kommt, weil sonst...</font>[/QUOTE]Lass dich davon weder verunsichern noch in falscher Sicherheit wiegen. Vieles ist Netzrauchen, und Verbindungen über auf dem System aktive Trojaner kann ZA im Ernstfall eh nicht unterbinden. Edit: Ich vergaß: Wenn das OS eine Raubkopie ist und womöglich sogar über eine Dateitauschbörse geladen wurde, ist nicht auszuschließen, dass ein Trojaner bereits mit der Installation dieses Betriebssystemes parallel installiert wurde. Ich rate dringend davon ab, dieses System weiter zu verwenden. Und das nur aus sicherheitstechnischer Sicht. Von der rechtlichen Problematik rede ich da noch gar nicht. |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board