Trojaner-Board - TR/Dldr.Swizzor.Gen2 mehrere Male auf dem PC !

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Dldr.Swizzor.Gen2 mehrere Male auf dem PC ! (https://www.trojaner-board.de/82434-tr-dldr-swizzor-gen2-mehrere-male-pc.html)

sooo hab das system gescanned und folgendes gefunden!
02.02.2010 22:20:05 Task started
02.02.2010 22:20:53 Detected: Trojan.Win32.StartPage.hlr C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\McLoad\Uninstall-Mcload.exe
02.02.2010 22:20:53 Untreated: Trojan.Win32.StartPage.hlr C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\McLoad\Uninstall-Mcload.exe Postponed
02.02.2010 22:34:30 Detected: Trojan.Win32.StartPage.hlr C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmpTLapp\McLoad-Preinstaller.exe
02.02.2010 22:34:30 Untreated: Trojan.Win32.StartPage.hlr C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmpTLapp\McLoad-Preinstaller.exe Postponed
02.02.2010 23:08:36 Detected: Trojan.Win32.StartPage.hlr C:\System Volume Information\_restore{DAC1E17E-9C01-4AF5-B792-2BFF9FF4569C}\RP370\A0055914.exe
02.02.2010 23:08:36 Untreated: Trojan.Win32.StartPage.hlr C:\System Volume Information\_restore{DAC1E17E-9C01-4AF5-B792-2BFF9FF4569C}\RP370\A0055914.exe Postponed
02.02.2010 23:41:28 Detected: Trojan.Win32.StartPage.hlr C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmpTLapp\McLoad-Preinstaller.exe
02.02.2010 23:41:28 Untreated: Trojan.Win32.StartPage.hlr C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmpTLapp\McLoad-Preinstaller.exe Postponed
02.02.2010 23:58:52 Detected: Trojan.Win32.StartPage.hlr C:\System Volume Information\_restore{DAC1E17E-9C01-4AF5-B792-2BFF9FF4569C}\RP370\A0055914.exe
02.02.2010 23:58:52 Untreated: Trojan.Win32.StartPage.hlr C:\System Volume Information\_restore{DAC1E17E-9C01-4AF5-B792-2BFF9FF4569C}\RP370\A0055914.exe Postponed
03.02.2010 00:06:06 Detected: Trojan.Win32.StartPage.hlr C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmpTLapp\McLoad-Preinstaller.exe
03.02.2010 00:06:38 Deleted: Trojan.Win32.StartPage.hlr C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmpTLapp\McLoad-Preinstaller.exe
03.02.2010 00:06:38 Detected: Trojan.Win32.StartPage.hlr C:\System Volume Information\_restore{DAC1E17E-9C01-4AF5-B792-2BFF9FF4569C}\RP370\A0055914.exe
03.02.2010 00:06:43 Deleted: Trojan.Win32.StartPage.hlr C:\System Volume Information\_restore{DAC1E17E-9C01-4AF5-B792-2BFF9FF4569C}\RP370\A0055914.exe
03.02.2010 00:06:43 Task completed

n paar davon konnten sofort gelöscht werden

Hallo

deaktiviere bitte die
Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.

Anschließend überprüfe dein System mit SASW und poste das Log sowie ein frisches Hijackthis Log hierher.

MFG

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:01:09, on 03.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\programme\steam\steam.exe
C:\Programme\802.11 Wireless LAN\802.11g USB 2.0 WLAN Dongle\WlanCU.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = No.1 AutoGame in VN - W*W.GiangHo.Tv
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DriveTheLife] "C:\Programme\DriveTheLife\DriveTheLife.exe" /start
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: _uninst_setup_9.0.0.722_02.02.2010_21-09.exe.lnk = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\_uninst_setup_9.0.0.722_02.02.2010_21-09.exe.bat
O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Programme\802.11 Wireless LAN\802.11g USB 2.0 WLAN Dongle\WlanCU.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - http://game.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6362 bytes

SUPERAntiSpyware Scan Log
h**p://w*w.superantispyware.com

Generated 02/03/2010 at 05:44 PM

Application Version : 4.33.1000

Core Rules Database Version : 4549
Trace Rules Database Version: 2361

Scan type : Complete Scan
Total Scan Time : 00:28:12

Memory items scanned : 479
Memory threats detected : 0
Registry items scanned : 4892
Registry threats detected : 0
File items scanned : 17055
File threats detected : 5

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atwola[1].txt

Hallo

starte Hijackthis mit der Option - Scan - und hake diese Einträge an

Zitat:

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - Startup: _uninst_setup_9.0.0.722_02.02.2010_21-09.exe.lnk = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\_uninst_setup_9.0.0.722_02.02.2010_21-09.exe.bat

klicke auf - fix checked - und beende Hijackthis.
Nach einem Neustart sollten diese Einträge nicht mehr im Log erscheinen.

Zum Abschluss überprüfe dein System mit Antivir, stelle es wie hier
Antivir angegeben ein.

MFG

hey ich sag nur nice work!:applaus:
C:\WINDOWS\system32\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcde60e.qua' verschoben!

das war das einzigste was gefunden wurde!

sehe ich das falsch oder ist das letzte übrige nicht schlimm?

ist nichts besonderes mehr oder ist das letzte gefundene in irgendeiner weise schädlich?

Hallo

Zitat:

...ist das letzte gefundene in irgendeiner weise schädlich?

es kann dazu benutzt werden, bei solchen Funden sollte erstmal nur in Quarantäne verschoben werden bevor man Dateien löscht.
Es wird sich meist zeigen, ob sie noch benötigt wird (Fehlermeldungen usw.).
http://www.trojaner-board.de/45142-e...tml#post301907

Ich denke wenn du sonst nix mehr hast, können wir dich entlassen.

MFG

ok danke:dankeschoen::dankeschoen::dankeschoen:
also ich lass das einfach bei mir in der quarantäne und lösche nichts bis irgendwann wieder sowas gefunden wird
ich muss schon sagen hier wird einem sehr gut geholfen;)