Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Swizzor wieder (https://www.trojaner-board.de/51693-tr-swizzor.html)

Yammi52 19.04.2008 17:05
TR/Swizzor wieder
 
Hallo,

brauche Hilfe, der swizzor hat zugeschlagen, Antivir deaktiviert und auch Adaware läuft nicht mehr durch. Im Prinzip erfolgt ständig irgendwie eine Weiterleitung auf fremde Seiten, verbunden mit Windows ähnlichen Meldungen, die ein Festplatten check, Meldung an Winows senden oder in der Art vorschlagen. Hier das log file, any hint? Log sieht dann so aus:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Yammi52 19.04.2008 18:26
Hallo,
ich nochmal. Habe vergesen zu erwähnen, dass ich mich mit Eurer Anleitung zum Swizzor schon befasst hatte, aber nicht so recht weitergekommen bin.
Als Info noch, in der Firewall ist das Antivirenprogramm deaktiviert und läßt sich nicht wieder aktivieren. Antivir ist zwar noch da, läßt sich aber nicht mehr aktualisieren und ein scan (auch im abgesichteren Modus) brint nix.
In der Firewall waren als Ausnahmen, die ich nicht zuordnen konnte @xpsp3res.dll und hls zugelassen, habe dort die Haken entfernt.
So recht komme ich nicht weiter.
Vieleicht hat doch noch jemnad einen Tip in welche Richtung ich weiter vorgehen kann.

mfg+Danke!

nochdigger 19.04.2008 19:10
Hallo

Zitat:
der swizzor hat zugeschlagen, Antivir deaktiviert und auch Adaware läuft nicht mehr durch
ich wüsste nicht, dass Swizzor dazu in der Lage ist:teufel1:

Scanne dein System bitte mal mit Blacklight
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
das Log findest du im selben Ordner wo Blacklight abgelegt wurde.

Überprüfe dein System ebenfalls mit Combofix
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Anschließend poste bitte die Logs.

MFG

Yammi52 19.04.2008 19:21
Hi,
besten Dank für die Antwort. Vielleicht ists noch was anderes. Ich kann das aber sclecht analysieren, da ich Antivir, Adaware nicht zum laufen kriege (AdAware meldet 200 infizierte Einträge wärend der Analyse, bleibt dann aber kurz vor Ende hängen, aktualisieren geht gar nicht, Antivir ähnlich) Ich werde aber erstmal wie vorgeschlagen vorgehen und melde mich wieder.
Grüße,

Yammi52 22.04.2008 20:00
Hi,

also mir scheint, dass es wohl doch nicht swizzor war/ist. Ich habe Adaware (hat 199 "infected", gefunden aber alles nur tracking cokies, habe ich natürlich gelöscht) und auch Spybot (hat messengerskimmer.rtk und mailskimmer.rtk und Mediaplex gefunden/gelöscht) zum laufen gekriegt, aber das Werbeseiten öffnen war immer noch da (vor allem Haufen son Windowsähnliches Zeug, Problembericht senden, Ihre Festplatte ist infiziert, check durchführen...).
Habe dann fsbl laufen lassen und hier das log:

04/22/08 19:19:54 [Info]: BlackLight Engine 1.0.70 initialized
04/22/08 19:19:54 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/22/08 19:19:54 [Note]: 7019 4
04/22/08 19:19:54 [Note]: 7005 0
04/22/08 19:19:56 [Note]: 7006 0
04/22/08 19:19:57 [Note]: 7011 1280
04/22/08 19:19:57 [Note]: 7035 0
04/22/08 19:19:57 [Note]: 7026 0
04/22/08 19:19:57 [Note]: 7026 0
04/22/08 19:19:57 [Note]: 7024 3
04/22/08 19:19:57 [Info]: Hidden process: C:\dokumente und einstellungen\uwe h\lokale einstellungen\anwendungsdaten\hhcunxivky
04/22/08 19:19:59 [Note]: FSRAW library version 1.7.1024
04/22/08 19:20:02 [Info]: Hidden file: c:\Dokumente und Einstellungen\Uwe H\Lokale Einstellungen\Anwendungsdaten\hhcunxivky.
04/22/08 19:20:02 [Note]: 10002 1
04/22/08 19:20:02 [Info]: Hidden file: C:\dokumente und einstellungen\uwe h\lokale einstellungen\anwendungsdaten\hhcunxivky.e
04/22/08 19:20:02 [Note]: 10002 1
04/22/08 19:20:02 [Info]: Hidden file: c:\Dokumente und Einstellungen\Uwe H\Lokale Einstellungen\Anwendungsdaten\hhcunxivky_n
04/22/08 19:20:02 [Note]: 10002 1
04/22/08 19:20:03 [Info]: Hidden file: c:\Dokumente und Einstellungen\Uwe H\Lokale Einstellungen\Anwendungsdaten\hhcunxivky_n
04/22/08 19:20:03 [Note]: 10002 1
04/22/08 19:24:08 [Note]: 2000 1012
04/22/08 19:26:02 [Note]: 7007 0


Diese hhcunxivky liessen sich nicht bereinigen, nur umbenennen, das habe ich gemacht, dann die umbenannten Dateien gesichert und gelöscht. Ja, und seit dem scheint mein Seitenöffner Ruhe zu geben. Ich habe mal nach diesen hhcin.. Dingern gegoogelt, aber nix gefunden.
Das AntiVir Problem scheint mehr eher von AntiVir zu kommen. Ich habe eine neue "free" Version heruntergeladen, aber die update Seiten scheinen überlastet zu sein (lassen sich auch separat im Explorer nicht öffnen oder anpingen). Auf einem anderen PC habe ich eine bezahlte Pro Version, da gehts einwandfrei. Na warten wir mal ab.

Ist denn jemandem schon diese HHcun... irgendwie untergekommen. Kann ja auch noch sein, dass es zu einem Programm gehört? Das werden wir demnächst feststellen.
Aber erstmal scheint Ruhe in der Kiste zu sein.

mfg

ach die Endungen dieser Dateien waren .exe, .dat, _nav.dat und _navpsdat, die Dateibnamen waren wohl zu lang fürs log


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:28 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129