Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner Swizzor

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.10.2005, 17:13   #1
Vala
 
Trojaner Swizzor - Standard

Trojaner Swizzor



Hallo,
Ich hab mir den download manager Netpumper runtergeladen und hab mir dadurch den Trojaner Swizzor eingefangen. Ich habe netpumper schon wieder deinstalliert aber der trojaner is noch drauf. Der prozess des Trojaners (iexplore.exe) lässt sich zwar schließen, aber er öffnet sich danach sofort wieder
Wenn ich in der regestry den schlüssel lösch schreibt er sich auch sofort wieder rein. Trojancheck guard sagt dass die Anfrage aus C:\Dokumente und Einstellungen\Ich\fouronebarb kommen. Die 3 Datein dir drin sind hab ich schon gescannt und sind infiziert von swizzor. Ad-aware, spybot, spy cleaner und antivir finden nichts(bis auf eine datei die ich auch schon gelöscht habe).
Hier mein HijackThis log:
Logfile of HijackThis v1.99.1
Scan saved at 17:09:03, on 27.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PGPserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Miranda IM\miranda32.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Xfire\Xfire.exe
C:\GAMES\KalOnline\engine.exe
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {85A77577-A8CA-41b7-AA1E-DDAD4C0B12B1} - (no file)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125600550796
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - h**p://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlackMoon FTP Service (BMFTP-RELEASE) - Selom Ofori - C:\Programme\Selom Ofori\BlackMoon FTP Server\FTPService.exe
O23 - Service: BMFTPRealTimeStats - Selom Ofori - C:\Programme\Selom Ofori\BlackMoon FTP Server\3rdParty\BMFTPRealTimeStats.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Alt 27.10.2005, 23:54   #2
dartus
 
Trojaner Swizzor - Standard

Trojaner Swizzor



Hallo Vala,

lade Dir clearprog 1.4.1 final und nimm eine Datenträgerbereinigung vor (Programm starten Häckchen bei "Alles Löschen" und auf "Löschen" klicken). Lösche ebenfalls den Quaratäne-Ordener Deines Antivir-Programmes.
Scanne dann Dein System mit Escan . Biite erst aufmerkam lesen und dann scannen. Teile das Ergebnis mittels der "find.bat" mit.

dartus
__________________

__________________

Alt 28.10.2005, 16:46   #3
Vala
 
Trojaner Swizzor - Standard

Trojaner Swizzor



Hier das Ergebniss:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 28 13:54:54 2005 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: No Action Taken.
Fri Oct 28 13:54:54 2005 => System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: No Action Taken.
Fri Oct 28 13:54:54 2005 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: No Action Taken.
Fri Oct 28 13:54:54 2005 => System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: No Action Taken.
Fri Oct 28 13:54:54 2005 => System found infected with ace club casino Spyware/Adware ({8ba2fe8d-8506-11d4-bfe2-cb5fed326646})! Action taken: No Action Taken.
Fri Oct 28 13:54:54 2005 => System found infected with ace club casino Spyware/Adware ({8ba2fe8f-8506-11d4-bfe2-cb5fed326646})! Action taken: No Action Taken.
Fri Oct 28 13:54:54 2005 => System found infected with ace club casino Spyware/Adware ({8ba2fe91-8506-11d4-bfe2-cb5fed326646})! Action taken: No Action Taken.
Fri Oct 28 13:55:05 2005 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken.
Fri Oct 28 13:55:06 2005 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken.
Fri Oct 28 16:04:48 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Oct 28 16:35:22 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 28 14:05:14 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Play platform 1 test\Findsixth.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Oct 28 14:05:18 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\mathintra.exe.q_543B3CA5_q tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Oct 28 14:06:16 2005 => File C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\fouronebarb\IsoStart.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Oct 28 14:06:16 2005 => File C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\fouronebarb\jcvjbjaz.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Oct 28 14:06:16 2005 => File C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\fouronebarb\scr army type.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Oct 28 16:16:41 2005 => File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 28 13:54:55 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Fri Oct 28 13:54:55 2005 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Fri Oct 28 13:54:55 2005 => Offending Key found: HKLM\Software\limewire !!!
Fri Oct 28 13:54:57 2005 => Offending Folder found: C:\Programme\hyperlinker
Fri Oct 28 13:54:57 2005 => Offending Folder found: C:\Programme\limewire
Fri Oct 28 13:55:03 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Ich\Startmenü\programme\limewire
Fri Oct 28 13:55:04 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Ich\Startmenü\Programme\limewire
Fri Oct 28 13:55:05 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\futuremark\pcmark05\readme.url
Fri Oct 28 13:55:06 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\futuremark\pcmark05\readme.url
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 28 16:35:22 2005 => Total Virus(es) Found: 22
Fri Oct 28 16:35:22 2005 => Total Errors: 92
Fri Oct 28 16:35:22 2005 => Time Elapsed: 02:42:09
Fri Oct 28 16:35:22 2005 => Total Objects Scanned: 84162
Fri Oct 28 13:51:23 2005 => Virus Database Date: 2005/10/28
Fri Oct 28 16:35:22 2005 => Virus Database Date: 2005/10/28
Fri Oct 28 16:38:53 2005 => Virus Database Date: 2005/10/28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~
__________________

Alt 28.10.2005, 18:57   #4
felix1
/// Helfer-Team
 
Trojaner Swizzor - Standard

Trojaner Swizzor



Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Mit Spybot immunisieren.

Danach neues HJT-Log.

Alt 28.10.2005, 21:35   #5
dartus
 
Trojaner Swizzor - Standard

Trojaner Swizzor



Hallo Vala,

lösche folgende Ordner (vorzugweise im abgesicherten Modus:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Play platform 1 test
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\fouronebarb

Nimm eine Bereinigung Deine Registry vor, z.B. mit Regseeker .

Deinstalliere sämtliche File-Sharing-Programme und verzichte zukünftig auf Downloads von unbekannten Quellen.

dartus

@felix,

Zitat:
Ad-aware, spybot, spy cleaner und antivir finden nichts

__________________
Kein Support per PN

Alt 29.10.2005, 00:32   #6
Vala
 
Trojaner Swizzor - Standard

Trojaner Swizzor



thx den trojaner hat mir nur netpumper mitgebracht die anderen filesharing programme sind in ordnung

Antwort

Themen zu Trojaner Swizzor
ad-aware, adobe, antivir, bho, browser, computer, einstellungen, firefox, frage, ftp, hijack, hijackthis, hijackthis log, iexplore.exe, internet, internet explorer, mozilla, mozilla firefox, prozess, rundll, server, software, swizzor, system, trojaner, tuneup utilities, unknown file in winsock lsp, windows, windows xp



Ähnliche Themen: Trojaner Swizzor


  1. Trojaner TR/Swizzor.xec
    Log-Analyse und Auswertung - 01.10.2010 (18)
  2. Trojaner Downloader.Swizzor
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (5)
  3. TR/Dldr.Swizzor.Gen und TR/Dldr.Swizzor.AG.2 bitte Log durchsehen, wenn jemand Zeit h
    Mülltonne - 26.01.2008 (0)
  4. tr/dldr.swizzor.gen Trojaner
    Log-Analyse und Auswertung - 26.07.2007 (4)
  5. Trojaner, wahrscheinlich Swizzor
    Log-Analyse und Auswertung - 20.03.2007 (5)
  6. Trojaner TR/Dldr.Swizzor.Gen
    Log-Analyse und Auswertung - 12.03.2007 (2)
  7. Trojaner Swizzor - Bitte hijackthis log überprüfen
    Log-Analyse und Auswertung - 01.03.2007 (4)
  8. Trojaner Swizzor-gen
    Log-Analyse und Auswertung - 01.03.2007 (18)
  9. Trojaner Swizzor.Gen
    Plagegeister aller Art und deren Bekämpfung - 11.02.2007 (11)
  10. Trojaner TR Swizzor/A
    Log-Analyse und Auswertung - 15.05.2006 (1)
  11. TR/Swizzor.A Trojaner geht nicht weg!!!
    Log-Analyse und Auswertung - 29.04.2006 (2)
  12. Trojaner Swizzor.A
    Plagegeister aller Art und deren Bekämpfung - 20.04.2006 (3)
  13. Habe Trojaner Downloader.Swizzor.CP und das selbe CR
    Log-Analyse und Auswertung - 12.10.2005 (4)
  14. Iexplore.exe doppelt und Trojaner Swizzor
    Log-Analyse und Auswertung - 24.08.2005 (4)
  15. Trojaner Befall => TR/Dldr.Swizzor.CO <=
    Plagegeister aller Art und deren Bekämpfung - 16.08.2005 (2)
  16. Trojaner Swizzor -> HiJackThis Log bitte auswerten
    Log-Analyse und Auswertung - 16.08.2005 (2)
  17. Trojaner Downloader.Swizzor.br
    Plagegeister aller Art und deren Bekämpfung - 04.11.2004 (5)

Zum Thema Trojaner Swizzor - Hallo, Ich hab mir den download manager Netpumper runtergeladen und hab mir dadurch den Trojaner Swizzor eingefangen. Ich habe netpumper schon wieder deinstalliert aber der trojaner is noch drauf. Der - Trojaner Swizzor...
Archiv
Du betrachtest: Trojaner Swizzor auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.