Trojaner Swizzor
 

Hallo,
Ich hab mir den download manager Netpumper runtergeladen und hab mir dadurch den Trojaner Swizzor eingefangen. Ich habe netpumper schon wieder deinstalliert aber der trojaner is noch drauf. Der prozess des Trojaners (iexplore.exe) lässt sich zwar schließen, aber er öffnet sich danach sofort wieder
Wenn ich in der regestry den schlüssel lösch schreibt er sich auch sofort wieder rein. Trojancheck guard sagt dass die Anfrage aus C:\Dokumente und Einstellungen\Ich\fouronebarb kommen. Die 3 Datein dir drin sind hab ich schon gescannt und sind infiziert von swizzor. Ad-aware, spybot, spy cleaner und antivir finden nichts(bis auf eine datei die ich auch schon gelöscht habe).
Hier mein hijackthis log:
Logfile of HijackThis v1.99.1
Scan saved at 17:09:03, on 27.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PGPserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Miranda IM\miranda32.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Xfire\Xfire.exe
C:\GAMES\KalOnline\engine.exe
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {85A77577-A8CA-41b7-AA1E-DDAD4C0B12B1} - (no file)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125600550796
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - h**p://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlackMoon FTP Service (BMFTP-RELEASE) - Selom Ofori - C:\Programme\Selom Ofori\BlackMoon FTP Server\FTPService.exe
O23 - Service: BMFTPRealTimeStats - Selom Ofori - C:\Programme\Selom Ofori\BlackMoon FTP Server\3rdParty\BMFTPRealTimeStats.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hallo Vala,

lade Dir clearprog 1.4.1 final und nimm eine Datenträgerbereinigung vor (Programm starten Häckchen bei "Alles Löschen" und auf "Löschen" klicken). Lösche ebenfalls den Quaratäne-Ordener Deines Antivir-Programmes.
Scanne dann Dein System mit Escan . Biite erst aufmerkam lesen und dann scannen. Teile das Ergebnis mittels der "find.bat" mit.

dartus

Hier das Ergebniss:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 28 13:54:54 2005 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: No Action Taken.
Fri Oct 28 13:54:54 2005 => System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: No Action Taken.
Fri Oct 28 13:54:54 2005 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: No Action Taken.
Fri Oct 28 13:54:54 2005 => System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: No Action Taken.
Fri Oct 28 13:54:54 2005 => System found infected with ace club casino Spyware/Adware ({8ba2fe8d-8506-11d4-bfe2-cb5fed326646})! Action taken: No Action Taken.
Fri Oct 28 13:54:54 2005 => System found infected with ace club casino Spyware/Adware ({8ba2fe8f-8506-11d4-bfe2-cb5fed326646})! Action taken: No Action Taken.
Fri Oct 28 13:54:54 2005 => System found infected with ace club casino Spyware/Adware ({8ba2fe91-8506-11d4-bfe2-cb5fed326646})! Action taken: No Action Taken.
Fri Oct 28 13:55:05 2005 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken.
Fri Oct 28 13:55:06 2005 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken.
Fri Oct 28 16:04:48 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Oct 28 16:35:22 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 28 14:05:14 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Play platform 1 test\Findsixth.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Oct 28 14:05:18 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\mathintra.exe.q_543B3CA5_q tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Oct 28 14:06:16 2005 => File C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\fouronebarb\IsoStart.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Oct 28 14:06:16 2005 => File C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\fouronebarb\jcvjbjaz.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Oct 28 14:06:16 2005 => File C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\fouronebarb\scr army type.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Oct 28 16:16:41 2005 => File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 28 13:54:55 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Fri Oct 28 13:54:55 2005 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Fri Oct 28 13:54:55 2005 => Offending Key found: HKLM\Software\limewire !!!
Fri Oct 28 13:54:57 2005 => Offending Folder found: C:\Programme\hyperlinker
Fri Oct 28 13:54:57 2005 => Offending Folder found: C:\Programme\limewire
Fri Oct 28 13:55:03 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Ich\Startmenü\programme\limewire
Fri Oct 28 13:55:04 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Ich\Startmenü\Programme\limewire
Fri Oct 28 13:55:05 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\futuremark\pcmark05\readme.url
Fri Oct 28 13:55:06 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\futuremark\pcmark05\readme.url
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 28 16:35:22 2005 => Total Virus(es) Found: 22
Fri Oct 28 16:35:22 2005 => Total Errors: 92
Fri Oct 28 16:35:22 2005 => Time Elapsed: 02:42:09
Fri Oct 28 16:35:22 2005 => Total Objects Scanned: 84162
Fri Oct 28 13:51:23 2005 => Virus Database Date: 2005/10/28
Fri Oct 28 16:35:22 2005 => Virus Database Date: 2005/10/28
Fri Oct 28 16:38:53 2005 => Virus Database Date: 2005/10/28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Mit Spybot immunisieren.

Danach neues HJT-Log.

Hallo Vala,

lösche folgende Ordner (vorzugweise im abgesicherten Modus:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Play platform 1 test
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\fouronebarb

Nimm eine Bereinigung Deine Registry vor, z.B. mit Regseeker .

Deinstalliere sämtliche File-Sharing-Programme und verzichte zukünftig auf Downloads von unbekannten Quellen.

dartus

@felix,

thx den trojaner hat mir nur netpumper mitgebracht die anderen filesharing programme sind in ordnung