| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner Swizzor.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
06.02.2007, 15:23
| #1 |
| |  Trojaner Swizzor.Gen Hi, ich habe schon diverse Beiträge gefunden, aber ales hat bis jetzt nichts geholfen. Habe die Systemwiederherstellung deaktiviert und im abgesichterten Modus mit dem Virenscaner nichts mehr gefunden. Dann wieder aktiviert und im normalen Modus gestartet und jetzt kommt wieder pünktlich zu jeder neuen Stunde in folgendem Ordner C:\Dokumente und Einstellungen\*********\Lokale Einstellungen\Temp ne .exe Datei, die mir in denselben Ordner den Virus einschleust. Was kann ich dagegen tun? Hijack-Log: Logfile of HijackThis v1.99.1 Scan saved at 15:30:26, on 06.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Acer\eManager\anbmServ.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe C:\Programme\BitTornado\btdownloadgui.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\SebastianEbel\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {BF27E27B-8864-2967-2033-A272B11ECDD7} - (no file) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B}(QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133204167795 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = **** O17 - HKLM\Software\..\Telephony: DomainName = **** O17 - HKLM\System\CCS\Services\Tcpip\..\{007401E6-F6A6-44FB-A54F-B17594708435}: NameServer = 81.14.243.9 81.14.244.9 O17 - HKLM\System\CCS\Services\Tcpip\..\{5A450393-0912-4B3A-BD5F-CA2F53A15074}: NameServer = 212.59.54.180,212.59.54.188 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = **** O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = **** O17 - HKLM\System\CS2\Services\Tcpip\..\{007401E6-F6A6-44FB-A54F-B17594708435}: NameServer = 81.14.243.9 81.14.244.9 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = *** O20 - Winlogon Notify: RunServices - C:\WINDOWS\ O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE Geändert von maxfunse (06.02.2007 um 15:35 Uhr) |
|
06.02.2007, 22:27
| #2 |
| Administrator > Competence Manager  | Trojaner Swizzor.Gen Hallo.
__________________ 1.) Lade dir das Tool -> CleanUp, stell das Tool genauso ein wie in der Anleitung beschrieben. 2.) Arbeiten mit MWAV (eScan) * Lies dir folgende Anleitung genau durch und arbeite sie ab: -> Anleitung eScan * Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”. (steht alles ganz genau in der Anleitung.) 3.) F-Secure Blacklight – Rootkitscanner: * Scanne dein System mit Blacklight- * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) Gruß Sunny
__________________ |
|
07.02.2007, 14:39
| #3 |
| | Trojaner Swizzor.Gen Hier das escan Ergebnis:
__________________~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] > Wed Feb 07 14:26:49 2007 => Virus Database Date: 2/7/2007 Wed Feb 07 14:29:39 2007 => Virus Database Date: 2/7/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Feb 07 13:03:10 2007 => System found infected with killav.nbd Browser Hijacker (svhost.exe)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Wed Feb 07 13:33:52 2007 => File C:\Dokumente und Einstellungen\All Users\Dokumente\setup.exe infected by "Trojan-Downloader.Win32.Agent.aii" Virus! Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Wed Feb 07 13:14:02 2007 => File C:\WINDOWS\system32\HFL.DLL tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken. Wed Feb 07 13:14:03 2007 => File C:\WINDOWS\system32\txrmmgr.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken. Wed Feb 07 13:14:06 2007 => File C:\WINDOWS\system32\rysutils.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken. Wed Feb 07 13:14:09 2007 => File C:\WINDOWS\system32\kyduzb.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken. Wed Feb 07 13:14:10 2007 => File C:\WINDOWS\system32\kv1394.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken. Wed Feb 07 13:15:38 2007 => File C:\WINDOWS\system32\hrj6051se.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken. Wed Feb 07 13:15:41 2007 => File C:\WINDOWS\system32\q686lgls16q6.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken. Wed Feb 07 13:15:41 2007 => File C:\WINDOWS\system32\cDiscii.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken. Wed Feb 07 13:15:41 2007 => File C:\WINDOWS\system32\lvrm0991e.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken. Wed Feb 07 14:13:10 2007 => File D:\Downloads\netpumper-1.25-setup-NP_0070.exe tagged as "not-a-virus:AdWare.Win32.Lop.ai". Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Wed Feb 07 13:03:10 2007 => Offending file found: C:\WINDOWS\system32\svhost.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Wed Feb 07 13:03:14 2007 => Offending Folder found: C:\Dokumente und Einstellungen\SebastianEbel\Anwendungsdaten\sopcast\adv ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Wed Feb 07 13:03:07 2007 => Offending Key found: HKLM\Software\ptech !!! Wed Feb 07 13:03:07 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!! Wed Feb 07 13:03:08 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\iprip !!! Wed Feb 07 13:03:08 2007 => Offending Key found: HKLM\System\ControlSet001\Services\iprip !!! Wed Feb 07 13:03:08 2007 => Offending Key found: HKLM\System\ControlSet002\Services\iprip !!! Wed Feb 07 13:03:08 2007 => Offending Key found: HKLM\System\ControlSet003\Services\iprip !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ edit:Das Blacklight Tool funktioniert nicht, da es "sedebugprivilege" benötigt. Keine Ahnung, wie man das andern kann. Geändert von maxfunse (07.02.2007 um 14:52 Uhr) |
|
07.02.2007, 15:04
| #4 |
| Administrator > Competence Manager | Trojaner Swizzor.Gen Lade dir nun das Tool -> Look2me Destroyer 1 ) Schließe alle offenen Fenster und Doppel-klicke die Look2Me-Destroyer.exe um das Programm zu starten. 2 ) Setzte einen Haken bei run this program as a task 3 ) Es erscheint eine Nachricht in der steht, dass sich innerhalb der naechsten 10 Sekunden der Look2Me Destroyer oeffnen und schliessen wird. 4 ) Klicke auf OK 5 ) Wenn das Programm sich wieder oeffnet, auf scan for L2Me klicken. 6 ) Wenn der Scan fertig ist, auf Remove L2Me klicken. Es erscheint danach eine "Done scanning" Nachricht. Einfach auf "OK" klicken. 7) Nach Beendigung des Scans, kommt folgende Nachricht: Done removing infected files! Look2Me-Destroyer will now shutdown your compute und der PC faehrt herunter. 8 ) PC starten und den Inhalt der C:\Look2Me-Destroyer.txt Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
07.02.2007, 15:51
| #5 |
| | Trojaner Swizzor.Gen Hier die Log-Datei: Look2Me-Destroyer V1.0.12 Scanning for infected files..... Scan started at 07.02.2007 15:41:39 Infected! C:\WINDOWS\system32\txrmmgr.dll Infected! C:\WINDOWS\system32\rysutils.dll Infected! C:\WINDOWS\system32\kyduzb.dll Infected! C:\WINDOWS\system32\kv1394.dll Infected! C:\WINDOWS\system32\hrj6051se.dll Infected! C:\WINDOWS\system32\q686lgls16q6.dll Infected! C:\WINDOWS\system32\cDiscii.dll Infected! C:\WINDOWS\system32\lvrm0991e.dll Attempting to delete infected files... Attempting to delete: C:\WINDOWS\system32\txrmmgr.dll C:\WINDOWS\system32\txrmmgr.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\rysutils.dll C:\WINDOWS\system32\rysutils.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\kyduzb.dll C:\WINDOWS\system32\kyduzb.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\kv1394.dll C:\WINDOWS\system32\kv1394.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\hrj6051se.dll C:\WINDOWS\system32\hrj6051se.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\q686lgls16q6.dll C:\WINDOWS\system32\q686lgls16q6.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\cDiscii.dll C:\WINDOWS\system32\cDiscii.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\lvrm0991e.dll C:\WINDOWS\system32\lvrm0991e.dll Deleted successfully! Making registry repairs. Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunServices Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{2690A790-6EC9-4A3B-9037-26D2E0ED7DA7}" HKCR\Clsid\{2690A790-6EC9-4A3B-9037-26D2E0ED7DA7} Restoring Windows certificates. Replaced hosts file with default windows hosts file Restoring SeDebugPrivilege for Administratoren - Succeeded Der Blacklight Scan hat übrigens nichts gefunden! Bin mal gespannt, ob es gleich um 16Uhr wieder losgeht... edit: Es ging wieder los! Geändert von maxfunse (07.02.2007 um 16:05 Uhr) |
|
08.02.2007, 15:24
| #6 |
| | Trojaner Swizzor.Gen Das Problem taucht jetzt nur noch auf, wenn der PC mit dem Internet verbunden ist. Trotzdem nervt es gewaltig. Hat noch irgendjemand einen Tip, was ich noch machen kann, statt des Neuaufsetzens. Habe im Moment einfach keine Zeit dafür, da ich im Klausurenstress bin. |
|
| Themen zu Trojaner Swizzor.Gen |
| .exe datei, ad-aware, adobe, antivir, avira, bho, cs3, desktop, einstellungen, ellung, excel, explorer, helper, hijackthis, icq, internet, internet explorer, konvertieren, microsoft, notebook, object, pdf, pdf-datei, programme, shockwave, software, trojaner, virenscaner, virus, windows, windows xp |
Hybrid-Darstellung
