Trojanisches Pferd

**raman** · 2007-02-07, 19:17

Du hast zumindest noch ein Problem und zwar C:\WINNT\system32\spoolvc.exe
teste diese Datei bitte hier und kopiere das Ergebniss hier hinein
http://www.virustotal.com/en/indexf.html

Du solltest dann mit Hilfe von Hijackthsi folgendes fixen(anhaken und fix checked druecken)

O4 - HKLM\..\Run: [Windows Update] Windowsupfixer.exe
O4 - HKLM\..\RunServices: [Windows Update] Windowsupfixer.exe
O23 - Service: Debug System Manager - Unknown owner - C:\WINNT\system32\spoolvc.exe
O23 - Service: Remote Access Manager - Unknown owner - C:\WINNT\system32\vcmon.exe (file missing)

Schau, ob du auch noch diese Datei finden kannst: c:\windows\system32\Windowsupfixer.exe

**pepeNEU** · 2007-02-08, 21:37

Bei virustotal habe ich folgenden Bericht erhalten:

Your file "spoolvc.exe" is queued in position: 14. Estimated start time is between 163 and 233 seconds.

Auf mein email an das team spybot habe ich von Norma die Aufgabenstellung bekommen, einige dll Dateien mit Killbox zu löschen. Das ging nicht - er sagt "pending file rename operations registry data has been removed by external process".

Jetzt versuche ich den hijack fix wie beschrieben. Bis später.
Und wie immer mit großem Dank und vielen lieben Grüßen!

**raman** · 2007-02-08, 22:06

Originally Posted by pepeNEU

Bei virustotal habe ich folgenden Bericht erhalten:

Your file "spoolvc.exe" is queued in position: 14. Estimated start time is between 163 and 233 seconds.

Das bedeutet soviel, das der Scan erst in den angegebenen anzahl an Sekunden angefangen waere. Schick sie einfach mal an virus@protecus.de

[QUOTEer sagt "pending file rename operations registry data has been removed by external process". [/QUOTE]

Ja, killbox funktioniert hier nicht, da Vundo das blockiert. Obwohl nun Vundo ja eigentlich weg sein sollte!?

**pepeNEU** · 2007-02-08, 22:19

sorry, ich mache das gleich nochmal...

Hier aber erstmal der neue Bericht von HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 22:11:10, on 08.02.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINNT\system32\drivers\dcfssvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Secretmaker\secretmaker.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {481E7983-1F2B-4250-951A-44E0902DF978} - C:\WINNT\system32\ssqpmlk.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50} - C:\WINNT\system32\ernywoip.dll (file missing)
O2 - BHO: (no name) - {8DFF48DD-82C4-4EED-9519-5576023AA08A} - C:\WINNT\system32\pmnli.dll (file missing)
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINNT\system32\smiehlp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ProfileWatcher] C:\Programme\ProfileWatcher\profilewatcher.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\Secretmaker\secretmaker.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O10 - Broken Internet access because of LSP provider 'smnsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINNT\system32\drivers\dcfssvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ptssvc - KODAK - C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe

**raman** · 2007-02-08, 22:45

Das sieht so relativ sauber aus. Diese Dinge musst du noch fgixen(anhaken + fix checked druecken). Dabei muessen alle Internetr Explorerfenster geschlosen sein!
O2 - BHO: (no name) - {481E7983-1F2B-4250-951A-44E0902DF978} - C:\WINNT\system32\ssqpmlk.dll (file missing)
O2 - BHO: (no name) - {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50} - C:\WINNT\system32\ernywoip.dll (file missing)
O2 - BHO: (no name) - {8DFF48DD-82C4-4EED-9519-5576023AA08A} - C:\WINNT\system32\pmnli.dll (file missing)

Achso ein Kontrollscan mit Drwebcureit waere nicht schlecht: http://freedrweb.com/?lng=de

und.... Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm und mache nochmal einen scan.

**pepeNEU** · 2007-02-08, 22:47

Spybot sagte, bevor ich die oben genannten files gefixt habe mit HiJackThis:

Er hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde.
Kategorie: System Startup Global Entry
Änderung: Wert gelöscht
Eintrag: Windows Update
Alte Daten: windowsupfixer.exe

Die windowsupfixer.exe hatte ich nicht zum "fix checked" gefunden.

Der Spybot hatte sich vorher schonmals gemeldet und irgendwie Register Änderungen verhindert/verweigert. Da kam dann jedesmal soein kleiner gelber sticker, der aber nach ein paar Sekunden selber verschwand... Das war - glaube ich - während des VundoFix.

Außerdem: als ich nach der Aktion letzes mal wieder ins internet kam, um hier zu berichten, hatte ich wieder dieses mysteriöse Druckerproblem, wo dann eine directory selbständig aufgeht (c/acdrv.exe) !
AntiVir spielte total verrückt danach - ich mußte ganz oft (sehr oft) immer wieder anklicken, damit das fixiert wurde. Um überhaupt weiterarbeiten zu können, habe ich AntiVir deaktiviert. (Deshalb hat das so lange gedauert, bis ich mich wieder melden konnte - mußte erstmal rausfinden wie das geht) Ich glaube, danach hab ich aber offline VundoFix und Spybot nochmal laufen lassen... Er hatte wieder Advertisingcom, MediaPlex, Tradedoubler und diese verschiedenen Sachen vom MicrosoftWindows SecurityCenter - wie vorher schon.

AntiVir sagte mir ganz oft
TR/FWDisable. (und eine Zahl)
WORM/Sdbot. (und eine Zahl . und noch eine Zahl)
TR/Agent.ACL

(sowas kritzel ich immer aufm zettel schnell mit)

Ich war der Meinung, AntiVir hatte das abgehalten? Auch Spybot meldete sich...
Vielleicht gehe ich besser offline alles nochmal komplett durch ???

Diesmal hatte ich jedenfalls online solche Probleme nicht mehr. AnitVir hat sich erst zweimal oder so gemeldet heute. Dafür ist das System auffällig langsam.

**pepeNEU** · 2007-02-08, 22:48

okay, ich mach jetzt nochmal virus total und schicke das dann...

**pepeNEU** · 2007-02-08, 23:03

Hier der Bericht von Virustotal

Complete scanning result of "spoolvc.exe", received in VirusTotal at 02.08.2007, 22:57:47 (CET).
Antivirus Version Update Result
AntiVir 7.3.1.34 02.08.2007 HEUR/Crypted
Authentium 4.93.8 02.08.2007 no virus found
Avast 4.7.936.0 02.08.2007 Win32:SdBot-gen42
AVG 386 02.08.2007 no virus found
BitDefender 7.2 02.08.2007 Backdoor.Sdbot.W
CAT-QuickHeal 9.00 02.08.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 02.08.2007 no virus found
DrWeb 4.33 02.08.2007 Win32.HLLW.MyBot.based
eSafe 7.0.14.0 02.08.2007 Win32.Polipos.sus
eTrust-InoculateIT 30.4.3378 02.08.2007 no virus found
eTrust-Vet 30.4.3378 02.08.2007 no virus found
Ewido 4.0 02.08.2007 no virus found
Fortinet 2.85.0.0 02.08.2007 suspicious
F-Prot 4.2.1.29 02.08.2007 generic
F-Secure 6.70.13030.0 02.08.2007 Backdoor.Win32.SdBot.aad
Ikarus T3.1.0.31 02.08.2007 Backdoor.Win32.SdBot.aad
Kaspersky 4.0.2.24 02.08.2007 Backdoor.Win32.SdBot.aad
McAfee 4959 02.08.2007 no virus found
Microsoft 1.2101 02.08.2007 Exploit:Win32/Lsass.gen
NOD32v2 2046 02.08.2007 a variant of IRC/SdBot
Norman 5.80.02 02.08.2007 W32/Kut.gen1
Panda 9.0.0.4 02.08.2007 no virus found
Prevx1 V2 02.08.2007 Worm.Ircbot.Gen
Sophos 4.13.0 02.08.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 VIPRE.Suspicious
Symantec 10 02.08.2007 no virus found
TheHacker 6.1.6.053 02.07.2007 W32/Bagle.gen@MM
UNA 1.83 02.08.2007 no virus found
VBA32 3.11.2 02.08.2007 Win32.HLLW.MyBot.based
VirusBuster 4.3.19:9 02.08.2007 no virus found
Aditional Information
File size: 48128 bytes
MD5: 58b66a38bd2e305589a9ff6e8041cfbe
SHA1: 00558d9ef2c85440cc7de9a343c2ed60361676ad
packers: BAMBAM, PEPACK
packers: PE-Pack, Aspack
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=a4ab76482608
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

**pepeNEU** · 2007-02-08, 23:13

So, jetzt mache ich noch die O2 – BHOs und die scans wie oben beschrieben.
Mache ich dann offline.

**pepeNEU** · 2007-02-08, 23:39

Expertenmodus Suche (das erste Bild) bei AntiVir kann ich einstellen wie angegeben. Aber das linke fenster sieht bei mir anders aus - da habe ich keine Heuristik. Hab in dem forum gesehen, dass es eine Beta Version 7 gibt. Die lade ich mal eben…

http://www.free-av.de/antivirclassic/heuristik2.html

Thread: Trojanisches Pferd

Thread Tools

Display

Posting Permissions