Swizzor
 

Tag.. hab ein kleines Problem mit diesem Swizzor. Kaspersky findet ihn alle paar Tage mal wieder, löscht ihn und doch kommt er wieder zurück.
Nun kann ich mich bei diversen Seiten nicht mehr einloggen, keine Bilder mehr uploaden und keine längeren Postings mehr in Foren machen (benutze Firefox). Könnte mir da wer behilflich sein?

HijackThis-Logfile folgt gleich in mehreren Postings, da ich sonst keinen Beitrag verfassen kann.

Logfile of HijackThis v1.99.1
Scan saved at 14:23:26, on 01.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\AVP6\avp.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Wsr\WinsysRsr.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Kaspersky Lab\AVP6\avp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HijackThis.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {55B73018-25A6-01A5-C9CC-ECE6F38C2051} - C:\DOKUME~1\xxx~1\ANWEND~1\INTERN~1\TimeGpl.exe (file missing)
O2 - BHO: LinkTracker Class - {85A77577-A8CA-41b7-AA1E-DDAD4C0B12B1} - C:\WINDOWS\System32\hlwin.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WinsysRsr] C:\Programme\Wsr\WinsysRsr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Kaspersky Anti-Virus 2006] C:\Programme\Kaspersky Lab\AVP6\avp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [fourview] C:\DOKUME~1\xxx~1\ANWEND~1\PROXYB~1\MIXBLUEABOUT.exe

O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

hallo,

also als erstes fehlt dein update auf SP 2.
du solltest dein system also schnell updaten.
desweiteren die frage kannst du das file nicht komplett kopieren??
gruß

O9 - Extra button: Script Checker - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\AVP6\scieplugin.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm

Gerade das ist ja das Problem. Ich kann weder Bilder uploaden, noch lange Beiträge verfassen. Deshalb die mehreren kleineren Abschnitte.

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/208d0ea0bde38130e418/netzip/RdxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {DAAD8E43-FAC2-41DD-8F02-9D2BD626F4BB} (AVChat_Inst Control) - http://www.evoicecafe.net/avchat/AVChat_InstProj1.cab

naja dann müssen wir es eben so versuchen.

O18 - Filter: text/html - {03974811-C15F-462c-B6B0-2D2336AA57D0} - C:\WINDOWS\System32\hlwin.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVP - Kaspersky Lab - C:\Programme\Kaspersky Lab\AVP6\avp.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Sorry wegen den vielen separaten Beiträgen, aber anders ging es nicht.

Servus, spoon!
So wie Du einzelne Abschnitte hierher mit kopieren+einfügen postest, kannst Du auch das ganze Logfile hereinstellen.
Als Dateianhang ist es ohnedies zu unübersichtlich - wie auch dieses Stückwerk!
Und hoerni26 hat es schon vorweg genommen - SP2 ist überfällig
stupormundi

Ok, dann werd ich jetzt erstmal auf SP2 updaten und mich dann am Abend wieder hier melden, ob es geklappt hat, wenn ich wieder zurück bin.

Vielen Dank für die schnelle Antwort.

Mal langsam, lauf nicht gleich wieder davon!
Bitte versuche zuerst das ganze Logfile am Stück hierher zu bringen!
Und lass´ mal folgende Datei bei http://virusscan.jotti.org/de prüfen und poste das Ergebnis anschließend hier. Falls Du eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur
stupormundi

Das ist ja das Problem. Ich kann gar nichts uploaden, keine Bilder, keine Dateien, rein gar nichts. Und wenn mein Beitrag zu lange wird, bricht er einfach das laden ab und ich muss die Beiträge so drastisch kürzen.

Zuletzt gefundene Malware war gbvn.exe, gefunden von:

Scanner Name der Malware
AntiVir Trojan/Keylogger.BP.2
ArcaVir X
Avast X
AVG Antivirus PSW.Keylog.U
BitDefender Trojan.Spy.Keylogger.BP
ClamAV Trojan.Small-102
Dr.Web Trojan.Elite.10
F-Prot Antivirus security risk or a "backdoor" program
Fortinet W32/Keylogger.BP-tr
Kaspersky Anti-Virus Trojan-Spy.Win32.KeyLogger.bp
NOD32 Win32/Spy.Elite.10.A
Norman Virus Control W32/KeyLogger.BP
UNA Trojan.Spy.Win32.KeyLogger
VBA32 TrojanSpy.Win32.Keylogger.bp

Hallo spoon,

keine Ahnung, ob das hilft. Derartiges kam bei einem Swizzor-Befall noch nicht vor.

Deinstalliere Flashget (werbeuntersützt) und weiche besser auf Leechget oder Getright aus.

Lade Dir clearprog 1.4.1 final.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

O2 - BHO: (no name) - {55B73018-25A6-01A5-C9CC-ECE6F38C2051} - C:\DOKUME~1\xxx~1\ANWEND~1\INTERN~1\TimeGpl.exe (file missing)
O2 - BHO: LinkTracker Class - {85A77577-A8CA-41b7-AA1E-DDAD4C0B12B1} - C:\WINDOWS\System32\hlwin.dll (file missing)
O4 - HKLM\..\Run: [WinsysRsr] C:\Programme\Wsr\WinsysRsr.exe
O4 - HKCU\..\Run: [fourview] C:\DOKUME~1\xxx~1\ANWEND~1\PROXYB~1\MIXBLUEABOUT.e xe
O16 - DPF: {DAAD8E43-FAC2-41DD-8F02-9D2BD626F4BB} (AVChat_Inst Control) – h..tp://www.evoicecafe.net/avchat/AVChat_InstProj1.cab
O18 - Filter: text/html - {03974811-C15F-462c-B6B0-2D2336AA57D0} - C:\WINDOWS\System32\hlwin.dl

Lösche folgende Ordner manuell:
C:\DOKUME~1\xxx~1\ANWEND~1\INTERN~1
C:\WINDOWS\System32\hlwin.dll <-- Datei
C:\DOKUME~1\xxx~1\ANWEND~1\PROXYB~1
C:\Programme\Wsr
Suche nach dem Löschen dieser Dateien nach "WinsysRsr.exe", sie sollte noch an 2 Orten zu finden sein (unter c:\windows und unter c:\windows\winsys).

Starte clearprog -> Häckchen bei Alles Löschen und auf löschen klicken

Neustart -> Systemwiederherstellung kann wieder aktiviert werden

Neues Logfile

dartus

Servus @all

Zusätzlicher Rat: Auf jeden Fall wegen des gefundenen Keyloggers alle Zugangsdaten und Passwörter ändern und Konten etc... überprüfen!
stupormundi

Hab alles gemacht wie beschrieben, aber die Datei ist nicht vorhanden - weder in diesem Ordner, noch sonst in einem anderen und WinsysRsr.exe hab ich auch nur einmal gefunden.

Das neue Logfile kann ich auch weiterhin weder als Anhang hochladen, noch komplett hier reinkopieren.

Muss ich mir jetzt Sorgen machen, dass es ein Riesenproblem ist?! Oder gibt es noch Hoffnung?

Servus, spoon!
Ich habe zuletzt Dein posting nicht genau genug gelesen! Konntest Du die 'WinsysRsr.exe' bei jotti prüfen lassen und war das unten gepostete Ergebnis (von wegen keylogger) jenes der zitierten Datei? Sieht nämlich auf den zweiten Blick so aus, als ob das eine andere gewesen ist!
stupormundi

Es kam beim Test 0% raus, also hab ich das getan, was du noch darunter geschrieben hattest (in einen anderen Ordner kopieren).

Das mit dem Keylogger hab ich nur dazu geschrieben, weil es auch auf der Seite vermerkt war und es vielleicht weiterhelfen könnte/würde.

Servus wieder!
Naja, wenn Du eine der von mir anufgezeigten Alternativen gewählt hast, wurde mich das Ergebnis von Jotti bezüglich der 'WinsysRsr.exe' schon interessieren. Du schreibst, dass Du die Datei in einen anderen Ordner kopiert hast - und weiter?
stupormundi