Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.Swizzor - Bitte Hilfe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.12.2005, 11:14   #1
Quango
 
Trojan.Swizzor - Bitte Hilfe - Standard

Trojan.Swizzor - Bitte Hilfe



Hallo zusammen,

Mein Problem sind zwei exe- Dateien,welche immer zu Werbepopups öffen.

Ich vermute das die Einträge vom HjT :

4 - HKCU\..\Run: [bash byte] C:\DOKUME~1\AJRN~1\ANWEND~1\PROCHO~1\Five Cdrom Eggs.ex

O2 - BHO: (no name) - {4B113799-F8F8-AF80-763B-584EC6790DDE} - C:\DOKUME~1\AJRN~1\ANWEND~1\MAILAT~1\Nameplay.exe

dafür verantwortlich sind. Eine Überprüfung im Internet auf Troj/ Viren ergab bei beiden, dass da wohl eine Form von Swizzor drin steckt.

Wie kann ich die Eintäge/ Dateien löschen ? Die Dinger starten ja immer mit dem Rechner. In der dem normal "Run" Ordnerr der Windows Registry sind se nich drinn.

Danke !

Alt 15.12.2005, 11:30   #2
Wildone
 
Trojan.Swizzor - Bitte Hilfe - Standard

Trojan.Swizzor - Bitte Hilfe



Hallo,
poste erstmal das gesammte HijackThis log damit man sich einen Gesamteindruck verschaffen kann.


Grüße Wildone
__________________


Alt 15.12.2005, 11:37   #3
Quango
 
Trojan.Swizzor - Bitte Hilfe - Standard

Trojan.Swizzor - Bitte Hilfe



Habe die beiden Dateien mal im abgesichtern Modus gelöscht, kommt aber immer noch ein popup... hier mal das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:37:46, on 15.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\Installationsdateien\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = .
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4B113799-F8F8-AF80-763B-584EC6790DDE} - C:\DOKUME~1\AJRN~1\ANWEND~1\MAILAT~1\Nameplay.exe (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Stupid Save Army Two] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BuildFiveStupidSave\shim save.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bash byte] C:\DOKUME~1\AJRN~1\ANWEND~1\PROCHO~1\Five Cdrom Eggs.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105288710056
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
__________________

Alt 15.12.2005, 11:44   #4
Wildone
 
Trojan.Swizzor - Bitte Hilfe - Standard

Trojan.Swizzor - Bitte Hilfe



Hallo,
besorge dir Killbox und lösche folgendes (deltree on reboot!):
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BuildFiveStupidSave\
C:\DOKUME~1\AJRN~1\ANWEND~1\MAILAT~1
C:\DOKUME~1\AJRN~1\ANWEND~1\PROCHO~1

dann gehst du in den abgesicherten Modus und fixt mit HijackThis diese Einträge:
O2 - BHO: (no name) - {4B113799-F8F8-AF80-763B-584EC6790DDE} - C:\DOKUME~1\AJRN~1\ANWEND~1\MAILAT~1\Nameplay.exe (file missing)
O4 - HKLM\..\Run: [Stupid Save Army Two] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BuildFiveStupidSave\shim save.exe
O4 - HKCU\..\Run: [bash byte] C:\DOKUME~1\AJRN~1\ANWEND~1\PROCHO~1\Five Cdrom Eggs.exe


Dann Bericht mit neuem HijackThis log.


Grüße Wildone

Alt 15.12.2005, 11:49   #5
Rene-gad
 
Trojan.Swizzor - Bitte Hilfe - Standard

Trojan.Swizzor - Bitte Hilfe



@Quango
Zitat:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105288710056
Wann hast du zum letzten Mal Windows-Update-Server besucht?


Alt 15.12.2005, 11:51   #6
Wildone
 
Trojan.Swizzor - Bitte Hilfe - Standard

Trojan.Swizzor - Bitte Hilfe



@Rene-Gad
*plonk*

Grüße Wildone

Alt 15.12.2005, 12:08   #7
Quango
 
Trojan.Swizzor - Bitte Hilfe - Standard

Trojan.Swizzor - Bitte Hilfe



@wildone

Hatte die zwei Dateien ja schon im abges. Modus gelöscht... Die shim save.exe konnte ich so löschen. War nur noch ein Rest von übrig, den ich dann mit kill.exe gelöscht habe.

Die letzten paar minuten war kein ´pop up mehr da... die eintragungen in der reg sind aber noch da laut hjt:

Logfile of HijackThis v1.99.1
Scan saved at 12:02:36, on 15.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Downloads\Installationsdateien\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = .
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4B113799-F8F8-AF80-763B-584EC6790DDE} - C:\DOKUME~1\AJRN~1\ANWEND~1\MAILAT~1\Nameplay.exe (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Stupid Save Army Two] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BuildFiveStupidSave\shim save.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bash byte] C:\DOKUME~1\AJRN~1\ANWEND~1\PROCHO~1\Five Cdrom Eggs.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

kann man die irgentwie manuell löschen ?
Danke soweit

@rene-gad
ja, das mit dem update ist lange her, an welcher Kennung kann man das den sehen ?

Alt 15.12.2005, 12:13   #8
Wildone
 
Trojan.Swizzor - Bitte Hilfe - Standard

Trojan.Swizzor - Bitte Hilfe



Hallo,
hast du die Einträge im abgesicherten Modus gefixt, Haken davor und auf "fix checked"?


Grüße Wildone

Alt 15.12.2005, 12:21   #9
Quango
 
Trojan.Swizzor - Bitte Hilfe - Standard

Trojan.Swizzor - Bitte Hilfe



Oh ne noch nicht...
Mach ich dann heute abend, grad keine Zeit mehr.

Daanke erstmal, melde mich dann noch mal

Alt 16.12.2005, 09:46   #10
Quango
 
Trojan.Swizzor - Bitte Hilfe - Standard

Trojan.Swizzor - Bitte Hilfe



So, hat alles wunderbar geklappt. Keine popups mehr und die Einträge sind auch aus hjt verschwunden.

Vielen Dank nochmal für die Tipps

Alt 16.12.2005, 10:30   #11
Wildone
 
Trojan.Swizzor - Bitte Hilfe - Standard

Trojan.Swizzor - Bitte Hilfe



Hallo,
achte zukünftig besser darauf welche Programme du installierst, normalerweise kommt Lop (Swizzor) als addon von vermeintlichen Freeware Programmen, ein Beispiel wäre Messenger Plus 3.



Grüße Wildone

Antwort

Themen zu Trojan.Swizzor - Bitte Hilfe
arten, bho, cdrom, dateien, dinger, einträge, hallo zusammen, inter, interne, internet, löschen, problem, registry, starte, starten, swizzor, troja, träge, vermute, viren, werbepopups, windows, zusammen



Ähnliche Themen: Trojan.Swizzor - Bitte Hilfe


  1. Nabend!! Bitte um hilfe (antivir mach meldung -> tr/dldr.swizzor.gen )
    Plagegeister aller Art und deren Bekämpfung - 09.07.2009 (1)
  2. Trojan.Win32.Swizzor.a, bitte um Hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 26.06.2009 (1)
  3. Mal wieder Swizzor.A - Bitte um Hilfe!
    Log-Analyse und Auswertung - 23.11.2008 (7)
  4. TR/Dldr.Swizzor.HNV und nervige internet werbung bitte hilfe!
    Mülltonne - 08.09.2008 (0)
  5. tr/dldr/swizzor.gen . bitte um Hilfe, ich bin Laie
    Plagegeister aller Art und deren Bekämpfung - 10.04.2008 (5)
  6. Trojaner TR/Dldr.Swizzor.Gen gefunden - bitte um Hilfe!
    Log-Analyse und Auswertung - 29.03.2008 (5)
  7. TR/Dldr.Swizzor.Gen und TR/Dldr.Swizzor.AG.2 bitte Log durchsehen, wenn jemand Zeit h
    Mülltonne - 26.01.2008 (0)
  8. swizzor? bitte um hilfe
    Log-Analyse und Auswertung - 15.10.2007 (1)
  9. Habe den Trojaner "Dldr.Swizzor.Gen", bitte um Hilfe
    Log-Analyse und Auswertung - 24.01.2007 (17)
  10. Bitte Hilfe !!! TR/Dldr.Swizzor.Gen
    Plagegeister aller Art und deren Bekämpfung - 08.01.2007 (3)
  11. Trojan.Downloader.Swizzor.DO
    Plagegeister aller Art und deren Bekämpfung - 22.11.2006 (7)
  12. Trojan.Swizzor.IA
    Plagegeister aller Art und deren Bekämpfung - 04.08.2006 (2)
  13. Trojan Donwloader win 32 swizzor.co (bo)....
    Log-Analyse und Auswertung - 04.05.2006 (1)
  14. Brauche dringend Rat!Trojan Swizzor
    Log-Analyse und Auswertung - 14.04.2006 (1)
  15. Trojan.Swizzor.Downloader.CP / CR ??????
    Log-Analyse und Auswertung - 09.10.2005 (1)
  16. Swizzor.gf - Bitte um Hilfe bei Log File Auswertung
    Log-Analyse und Auswertung - 29.08.2005 (4)
  17. Trojan-Downloader.Win32.Swizzor.ca
    Plagegeister aller Art und deren Bekämpfung - 12.03.2005 (1)

Zum Thema Trojan.Swizzor - Bitte Hilfe - Hallo zusammen, Mein Problem sind zwei exe- Dateien,welche immer zu Werbepopups öffen. Ich vermute das die Einträge vom HjT : 4 - HKCU\..\Run: [bash byte] C:\DOKUME~1\AJRN~1\ANWEND~1\PROCHO~1\Five Cdrom Eggs.ex O2 - - Trojan.Swizzor - Bitte Hilfe...
Archiv
Du betrachtest: Trojan.Swizzor - Bitte Hilfe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.