Trojaner-Board - Einzelnen Beitrag anzeigen

piratenmartin · 05.10.2004, 15:49

Hallo,

vielen Dank für die schnelle Antwort.
Das mit den im Taskmanager beendeten Prozessen schein wohl doch ein Zufall gewesen zu sein, ich hab eben nach dem Beenden von spoolsv.exe versucht ins Netz zu kommen, hat nicht geklappt, aber nach einem Neustart ohne das beenden von Prozessen gings eben.
Ich weiß nicht mehr, welche Malware Kaspersky gefunden hat, ich weiß auch nicht, wie ich an das entsprechende logfile komme, im aktuellen Report stehen keine Malware drinnen.
Vielleicht ist noch erwähnenswert, dass das Windows Update nicht mehr geht, ich bekomme immer Fehlermeldungen auf der MS-Seite, dass bestimmte Dienste nicht aktiviert sind, aber auch nach der Aktivierung läuft es nicht. Auch das automatische Update klappt nicht.

Hier das logfile von HijackThis, vielleicht ist das ja aufschlussreicher als meine unqualifizierten Äußerungen.

Martin
Logfile of HijackThis v1.98.2
Scan saved at 14:24:57, on 05.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Kaspersky Anti-Virus\avpcc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Kaspersky Anti-Virus\avpm.exe
C:\Programme\KerioPF\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KerioPF\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\KerioPF\Personal Firewall 4\kpf4gui.exe
C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe
C:\Programme\Kaspersky Anti-Virus\avpcc.exe
C:\Programme\Teledat\IWatch.exe
C:\Programme\BOINC\boinc_gui.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\BOINC\projects\setiathome.berkeley.edu\setiathome_4.03_windows_intelx86.exe
C:\Dokumente und Einstellungen\Herfson\Desktop\hijackthis1982\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://WWW.BenQ.COM/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.benq.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Q-HotkeyMgr] C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Anti-Virus\avpcc.exe" /wait
O4 - HKLM\..\RunServices: [Win32 Wmls Driver] winitr32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: BOINC.lnk = C:\Programme\BOINC\boinc_gui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096295979879
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CE7C6ED-2FE4-40B7-AE67-9B61FA38F22A}: NameServer = 130.149.4.20,130.149.2.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C68985C-2F1A-4FA2-B6AC-674B60324D23}: NameServer = 192.168.121.252,192.168.121.253

05.10.2004, 15:49	#3 (permalink)
piratenmartin Registriert seit: 04.10.2004 Beiträge: 17	AW: spoolsv.exe verhindert Internetzugriff Hallo, vielen Dank für die schnelle Antwort. Das mit den im Taskmanager beendeten Prozessen schein wohl doch ein Zufall gewesen zu sein, ich hab eben nach dem Beenden von spoolsv.exe versucht ins Netz zu kommen, hat nicht geklappt, aber nach einem Neustart ohne das beenden von Prozessen gings eben. Ich weiß nicht mehr, welche Malware Kaspersky gefunden hat, ich weiß auch nicht, wie ich an das entsprechende logfile komme, im aktuellen Report stehen keine Malware drinnen. Vielleicht ist noch erwähnenswert, dass das Windows Update nicht mehr geht, ich bekomme immer Fehlermeldungen auf der MS-Seite, dass bestimmte Dienste nicht aktiviert sind, aber auch nach der Aktivierung läuft es nicht. Auch das automatische Update klappt nicht. Hier das logfile von HijackThis, vielleicht ist das ja aufschlussreicher als meine unqualifizierten Äußerungen. Martin Logfile of HijackThis v1.98.2 Scan saved at 14:24:57, on 05.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Kaspersky Anti-Virus\avpcc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Kaspersky Anti-Virus\avpm.exe C:\Programme\KerioPF\Personal Firewall 4\kpf4ss.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\RoamMgr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\KerioPF\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\KerioPF\Personal Firewall 4\kpf4gui.exe C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe C:\Programme\Kaspersky Anti-Virus\avpcc.exe C:\Programme\Teledat\IWatch.exe C:\Programme\BOINC\boinc_gui.exe C:\WINDOWS\System32\1XConfig.exe C:\Programme\BOINC\projects\setiathome.berkeley.edu\setiathome_4.03_windows_intelx86.exe C:\Dokumente und Einstellungen\Herfson\Desktop\hijackthis1982\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://WWW.BenQ.COM/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.benq.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Q-HotkeyMgr] C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Anti-Virus\avpcc.exe" /wait O4 - HKLM\..\RunServices: [Win32 Wmls Driver] winitr32.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe O4 - Global Startup: BOINC.lnk = C:\Programme\BOINC\boinc_gui.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/ O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096295979879 O17 - HKLM\System\CCS\Services\Tcpip\..\{4CE7C6ED-2FE4-40B7-AE67-9B61FA38F22A}: NameServer = 130.149.4.20,130.149.2.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{9C68985C-2F1A-4FA2-B6AC-674B60324D23}: NameServer = 192.168.121.252,192.168.121.253