| |
| |||||||
Log-Analyse und Auswertung: spoolw.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
20.03.2008, 14:25
| #1 |
 |  spoolw.exe Heyho! Habe schon selbst probiert diese Datei durch hijack zu löschen, hat aber nichts gebracht... Wenn ich den Prozess im taskmanager beende öffnet er sich sofort wieder. Ab und zu öffnet sich der internetexplorer einfach so, wobei die Startseite immer "about:blank" ist, kann die Startseite auch nicht ändern - benutze aber auch Mozilla... Hier der Log: Logfile of HijackThis v1.99.1 Scan saved at 14:22:06, on 20.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Symphony\maestro.exe C:\WINDOWS\system32\igfxsvc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolw.exe C:\WINDOWS\system32\spoolw.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\odkies\hijackthis_199\HijackThis.exe F3 - REG:win.ini: run= O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: T-Sinus 930 Konfiguration.lnk = C:\Programme\Symphony\maestro.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing) O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe |
|
20.03.2008, 14:49
| #2 |
 | spoolw.exe Hallo, lasse bitte folgende Dateien Online bei Jotti oder Virustotal auswerten:
__________________C:\WINDOWS\system32\spoolw.exe C:\WINDOWS\system32\spoolw.exe (sollte auch zweimal vorhanden sein) C:\WINDOWS\system32\igfxsvc.exe Wenn sich das bestätigt wovon ich zum jetzigen Zeitpunkt ausgehe, sieht es nicht gut aus! Poste den gesamten bericht der Auswertung, einschließlich der Prüfsumme usw.! Solltest du die Dateien nicht finden, folge dem link in meiner SIG zum sichtbar machen der Versteckten Dateien!
__________________ |
|
20.03.2008, 21:53
| #3 |
| | spoolw.exe Hmm, deine verlinkten Seiten sind down... Hab bei F-Secure ein Online-Scan gemacht und er hat ca. 900 Viren gefunden. Beim Löschen ist er dann abgeschmiert, aber der häufigste war: Trojan.Win32.Dialer mit vielen verschiedenen Nummer im C:\Windows ordner. Hab die nu vvon Hand gelöscht. Was mir auch noch aufgefallen ist, dass wenn ich zuerst igfxsvc.exe im Taskmanager beende und dann spoolw.exe beende, öffnet sie sich nicht wieder. Danke aber für deine Hilfe! Mal schauen wie lange es sich hält
__________________ |
|
21.03.2008, 15:37
| #5 |
| | spoolw.exe Jau, vielen dank! Das hat soweit geklappt. Hat die Dateien zwar nicht von selbst gelöscht, aber dafür hat er sie nicht mehr gestartet... Hab sie dann von Hand gelöscht und denke, jetzt sollte alles ok sein. Danke!! Wenn man kein Online-Banking oder wichtige Information auf seinem Rechner hat, ist es doch fast egal einen Trojaner zu haben oder? |
|
12.04.2008, 17:55
| #6 |
| | spoolw.exe Das Ding ist wieder da!! ;( Jetzt ist aber die Probezeit von dem Programm abgelaufen... Gibt es eine andere kostenlose Lösung? Hier wieder der Log: Logfile of HijackThis v1.99.1 Scan saved at 18:54:00, on 12.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\spoolw.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spoolw.exe C:\Programme\Symphony\maestro.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\igfxsvc.exe C:\WINDOWS\system32\igfxsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\odkies\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = F3 - REG:win.ini: run= O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: XMLDP Class - {72A128E0-2240-40c8-9E92-5387D64F839E} - C:\WINDOWS\xml2u32.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: T-Sinus 930 Konfiguration.lnk = C:\Programme\Symphony\maestro.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing) O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe |
|
14.04.2008, 09:55
| #7 |
| | spoolw.exe Weiß keiner einen anderen Rat? Kann das Antispywareprogramm nicht mehr benutzen...  |
|
14.04.2008, 10:40
| #8 | |
  | spoolw.exe Hallo, 1. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat:
wende CCleaner an CCleaner 3. wende windowsscan an + poste den kompletten report Windows Scan - Vistascan
__________________ MfG Sabina |
|
14.04.2008, 14:30
| #9 |
| | spoolw.exe Hi Sabrina! Danke schonmal für die Hilfe!! Hab alles ausgeführt, hier der Log: Die 30 neuesten Dateien im Ordner Windows: ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS ***** ***** ***** ***** ***** ***** 14.04.2008 WindowsUpdate.log 15 27:415.320 14.04.2008 bootstat.dat 15 26:2.048 14.04.2008 SchedLgU.Txt 15 23:32.572 14.04.2008 12971602.exe 14 29:25.600 14.04.2008 12969399.exe 14 29:47.104 14.04.2008 8950199.exe 13 22:47.104 14.04.2008 8948397.exe 13 22:25.600 14.04.2008 4936738.exe 12 15:47.104 14.04.2008 4934735.exe 12 15:25.600 14.04.2008 882088.exe 11 08:47.104 14.04.2008 881657.exe 11 08:47.104 12.04.2008 32134807.exe 20 27:47.104 12.04.2008 32134006.exe 20 27:25.600 12.04.2008 28119433.exe 19 20:25.600 12.04.2008 28119233.exe 19 20:25.600 12.04.2008 win.ini 11 34:706 12.04.2008 system.ini 11 34:227 23.02.2008 mozregistry.dat 22 24:335 17.12.2007 DUMP5854.tmp 14 45:94.208 05.12.2007 WORDPAD.INI 22 26:754 09.11.2007 WDIRECT.INI 16 37:56 14.10.2007 mixerdef.ini 13 24:25 26.09.2007 WININIT.INI 13 09:244 17.09.2007 WMSysPr9.prx 13 54:316.640 02.09.2007 mozver.dat 13 08:2.317 17.07.2007 scunin.dat 21 07:10.736 17.07.2007 ScUnin.pif 21 07:967 Die 50 neuesten Dateien im Ordner Windows\system32: ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32 ***** ***** ***** ***** ***** ***** 13.04.2008 wpa.dbl 14 53:13.002 30.03.2008 perfh009.dat 18 38:311.604 30.03.2008 perfc009.dat 18 38:39.992 30.03.2008 perfc007.dat 18 38:48.156 30.03.2008 perfh007.dat 18 38:316.594 30.03.2008 PerfStringBackup.INI 18 38:723.744 14.03.2008 FNTCACHE.DAT 18 38:262.232 12.10.2007 609467646.dat 15 20:109 17.09.2007 spupdwxp.log 13 50:249 02.09.2007 jupdate-1.6.0_02-b06.log 13 08:5.214 08.08.2007 wpa.bak 13 42:12.980 30.07.2007 wuweb.dll 19 19:203.096 12.07.2007 javaws.exe 02 22:139.264 12.07.2007 javacpl.cpl 02 22:69.632 12.07.2007 javaw.exe 01 22:135.168 12.07.2007 java.exe 01 22:135.168 11.07.2007 CmdLineExt03.dll 15 23:43.520 10.07.2007 SIntfNT.dll 02 11:21.840 10.07.2007 SIntf32.dll 02 11:17.212 10.07.2007 SIntf16.dll 02 11:12.067 09.07.2007 amcompat.tlb 23 17:16.832 09.07.2007 nscompat.tlb 23 17:23.392 09.07.2007 d3d8caps.dat 22 21:552 09.07.2007 h323log.txt 21 52:0 09.07.2007 wmpscheme.xml 21 33:25.065 09.07.2007 divxsm.tlb 21 07:4.816 09.07.2007 DivXsm.exe 21 07:524.288 09.07.2007 dsm_de.qm 21 07:10.152 09.07.2007 qt-dx331.dll 21 07:3.596.288 09.07.2007 pxcpyi64.exe 21 07:116.472 09.07.2007 pxinsi64.exe 21 07:118.520 09.07.2007 libdivx.dll 21 07:1.044.480 09.07.2007 ssldivx.dll 21 07:200.704 09.07.2007 dpl100.dll 21 05:73.728 09.07.2007 dtu100.dll 21 05:196.608 09.07.2007 dpuGUI10.dll 21 05:53.248 09.07.2007 dpuGUI11.dll 21 05:593.920 09.07.2007 dpus11.dll 21 05:344.064 09.07.2007 dpv11.dll 21 05:57.344 09.07.2007 dpu10.dll 21 05:294.912 09.07.2007 dpu11.dll 21 05:294.912 09.07.2007 divx_xx07.dll 21 05:823.296 09.07.2007 divx_xx0c.dll 21 05:823.296 09.07.2007 divx_xx11.dll 21 05:802.816 09.07.2007 DivX.dll 21 05:740.442 09.07.2007 divxdec.ax 21 05:638.976 09.07.2007 DivXMedia.ax 21 05:352.401 ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32\drivers\etc\hosts ***** ***** ***** ***** ***** ***** 192.168.200.3 ad.doubleclick.net 192.168.200.3 ad.fastclick.net 192.168.200.3 ads.fastclick.net 192.168.200.3 ar.atwola.com 192.168.200.3 atdmt.com 192.168.200.3 avp.ch 192.168.200.3 avp.com 192.168.200.3 avp.ru 192.168.200.3 awaps.net 192.168.200.3 banner.fastclick.net 192.168.200.3 banners.fastclick.net 192.168.200.3 ca.com 192.168.200.3 click.atdmt.com 192.168.200.3 clicks.atdmt.com 192.168.200.3 customer.symantec.com 192.168.200.3 dispatch.mcafee.com 192.168.200.3 download.mcafee.com 192.168.200.3 download.microsoft.com 192.168.200.3 downloads-us1.kaspersky-labs.com 192.168.200.3 downloads-us2.kaspersky-labs.com 192.168.200.3 downloads-us3.kaspersky-labs.com 192.168.200.3 downloads.microsoft.com 192.168.200.3 downloads1.kaspersky-labs.com 192.168.200.3 downloads2.kaspersky-labs.com 192.168.200.3 downloads3.kaspersky-labs.com 192.168.200.3 downloads4.kaspersky-labs.com 192.168.200.3 engine.awaps.net 192.168.200.3 f-secure.com 192.168.200.3 fastclick.net 192.168.200.3 ftp.avp.ch 192.168.200.3 ftp.downloads1.kaspersky-labs.com 192.168.200.3 ftp.downloads2.kaspersky-labs.com 192.168.200.3 ftp.downloads3.kaspersky-labs.com 192.168.200.3 ftp.f-secure.com 192.168.200.3 ftp.kasperskylab.ru 192.168.200.3 ftp.sophos.com 192.168.200.3 go.microsoft.com 192.168.200.3 ids.kaspersky-labs.com 192.168.200.3 kaspersky-labs.com 192.168.200.3 kaspersky.com 192.168.200.3 liveupdate.symantec.com 192.168.200.3 liveupdate.symantecliveupdate.com 192.168.200.3 mast.mcafee.com 192.168.200.3 mcafee.com 192.168.200.3 media.fastclick.net 192.168.200.3 microsoft.com 192.168.200.3 msdn.microsoft.com 192.168.200.3 my-etrust.com 192.168.200.3 nai.com 192.168.200.3 networkassociates.com 192.168.200.3 norton.com 192.168.200.3 office.microsoft.com 192.168.200.3 pandasoftware.com 192.168.200.3 phx.corporate-ir.net 192.168.200.3 rads.mcafee.com 192.168.200.3 secure.nai.com 192.168.200.3 securityresponse.symantec.com 192.168.200.3 service1.symantec.com 192.168.200.3 sophos.com 192.168.200.3 spd.atdmt.com 192.168.200.3 support.microsoft.com 192.168.200.3 symantec.com 192.168.200.3 trendmicro.com 192.168.200.3 update.symantec.com 192.168.200.3 updates.symantec.com 192.168.200.3 updates1.kaspersky-labs.com 192.168.200.3 updates2.kaspersky-labs.com 192.168.200.3 updates3.kaspersky-labs.com 192.168.200.3 updates4.kaspersky-labs.com 192.168.200.3 updates5.kaspersky-labs.com 192.168.200.3 us.mcafee.com 192.168.200.3 vil.nai.com 192.168.200.3 viruslist.com 192.168.200.3 viruslist.ru 192.168.200.3 virusscan.jotti.org 192.168.200.3 virustotal.com 192.168.200.3 windowsupdate.microsoft.com 192.168.200.3 www.avp.ch 192.168.200.3 www.avp.com 192.168.200.3 www.avp.ru 192.168.200.3 www.awaps.net 192.168.200.3 www.ca.com 192.168.200.3 www.f-secure.com 192.168.200.3 www.fastclick.net 192.168.200.3 www.grisoft.com 192.168.200.3 www.kaspersky-labs.com 192.168.200.3 www.kaspersky.com 192.168.200.3 www.kaspersky.ru 192.168.200.3 www.mcafee.com 192.168.200.3 www.microsoft.com 192.168.200.3 www.my-etrust.com 192.168.200.3 www.nai.com 192.168.200.3 www.networkassociates.com 192.168.200.3 www.pandasoftware.com 192.168.200.3 www.sophos.com 192.168.200.3 www.symantec.com 192.168.200.3 www.symantec.com 192.168.200.3 www.trendmicro.com 192.168.200.3 www.viruslist.com 192.168.200.3 www.viruslist.ru 192.168.200.3 www.virustotal.com 192.168.200.3 www3.ca.com ***** ***** ***** ***** ***** ***** Scanning Processe ***** ***** ***** ***** ***** ***** Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung ========================= ===== ================ ========== =============== System Idle Process 0 Console 0 16 K System 4 Console 0 212 K smss.exe 444 Console 0 372 K csrss.exe 676 Console 0 3.700 K winlogon.exe 700 Console 0 2.432 K services.exe 744 Console 0 3.840 K lsass.exe 756 Console 0 5.416 K svchost.exe 912 Console 0 4.524 K svchost.exe 968 Console 0 3.896 K svchost.exe 1108 Console 0 20.956 K svchost.exe 1156 Console 0 2.720 K svchost.exe 1240 Console 0 4.384 K spoolsv.exe 1536 Console 0 4.180 K wdfmgr.exe 1844 Console 0 1.732 K alg.exe 244 Console 0 3.304 K explorer.exe 1088 Console 0 20.660 K wscntfy.exe 1096 Console 0 1.972 K spoolw.exe 1228 Console 0 3.300 K winampa.exe 1280 Console 0 2.084 K mixer.exe 1304 Console 0 3.784 K ctfmon.exe 1152 Console 0 2.876 K spoolw.exe 1324 Console 0 3.296 K maestro.exe 1344 Console 0 4.440 K igfxsvc.exe 1400 Console 0 1.728 K igfxsvc.exe 1496 Console 0 1.728 K igfxsvc.exe 1264 Console 0 1.728 K wuauclt.exe 1068 Console 0 6.444 K wuauclt.exe 2044 Console 0 5.064 K cmd.exe 376 Console 0 1.752 K tasklist.exe 112 Console 0 4.224 K wmiprvse.exe 736 Console 0 5.368 K Microsoft Windows XP [Version 5.1.2600] http://www.paules-pc-forum.de ***** Malware Team ***** ***** Ende des Scans 14.04.2008 um 15:28:39,57 *** |
|
14.04.2008, 18:21
| #10 | |
| | spoolw.exe Hallo, 2. Lade otmoveIt OTMoveIt by OldTimer öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move Klicke auf den Roten MoveIt! Zitat:
lade sdfix - SDFix ...boote in den abgesicherten Modus , dort scanne, dann im normalmodus poste den Report, der erscheint so wird auch die Hosts gesäubert. u.a.... wenn das erledigt ist, sehen wir weiter.
__________________ MfG Sabina |
|
14.04.2008, 19:36
| #11 |
| | spoolw.exe SDFix: Version 1.171 Run by odkies on 14.04.2008 at 20:20 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\WINDOWS\s32.txt - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-14 20:27:31 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT] "EventMessageFile"=str(2):"c:\windows\system32\ESENT.dll" "CategoryMessageFile"=str(2):"c:\windows\system32\ESENT.dll" scanning hidden registry entries ... scanning hidden files ... C:\WINDOWS\setupapi.log 756 bytes C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb00002.log 131072 bytes C:\WINDOWS\SoftwareDistribution\WuRedir\9482F4B4-E343-43B6-B170-9A65BC822C77\wuredir.cab.bak 10040 bytes C:\WINDOWS\LastGood C:\WINDOWS\LastGood\INF C:\WINDOWS\LastGood\INF\oem1.inf 0 bytes C:\WINDOWS\LastGood\INF\oem1.PNF 0 bytes C:\WINDOWS\LastGood\INF\wuau.adm 42028 bytes C:\WINDOWS\LastGood\system32 C:\WINDOWS\LastGood\system32\cdm.dll 66560 bytes executable C:\WINDOWS\LastGood\system32\wuapi.dll 431616 bytes executable C:\WINDOWS\LastGood\system32\wuauclt.exe 111616 bytes executable C:\WINDOWS\LastGood\system32\wuaucpl.cpl 162816 bytes executable C:\WINDOWS\LastGood\system32\wuaueng.dll 1134592 bytes executable C:\WINDOWS\LastGood\system32\wucltui.dll 113664 bytes executable C:\WINDOWS\LastGood\system32\wups.dll 36864 bytes executable scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 16 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Sat 11 Aug 2007 23,672 A..H. --- "C:\Spiele\cracked_d2maphack_v7.2\AUTOMAP0.TMP" Sat 11 Aug 2007 566 A..H. --- "C:\Spiele\cracked_d2maphack_v7.2\AUTOMAP1.TMP" Mon 30 May 2005 39,424 A..H. --- "C:\Dokumente und Einstellungen\Schule\Technik\Brennstoffzelle\~WRL0001.tmp" Tue 31 May 2005 55,296 A..H. --- "C:\Dokumente und Einstellungen\Schule\Technik\Brennstoffzelle\~WRL2859.tmp" Tue 31 May 2005 39,936 A..H. --- "C:\Dokumente und Einstellungen\Schule\Technik\Brennstoffzelle\~WRL2997.tmp" Finished! |
|
14.04.2008, 19:40
| #12 |
| | spoolw.exe Hier nochmal hijack Log... spoolw und diese igfxxx Datei sind immer noch da   |
|
14.04.2008, 19:42
| #13 |
| | spoolw.exe Sorry, vergessen den Log reinzuposten.... Hier nochmal hijack Log... spoolw und diese igfxxx Datei sind immer noch da Logfile of HijackThis v1.99.1 Scan saved at 20:39:27, on 14.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Symphony\maestro.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\igfxsvc.exe C:\WINDOWS\system32\spoolw.exe C:\Dokumente und Einstellungen\odkies\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: XMLDP Class - {72A128E0-2240-40c8-9E92-5387D64F839E} - C:\WINDOWS\xml2u32.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: T-Sinus 930 Konfiguration.lnk = C:\Programme\Symphony\maestro.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing) O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe |
|
15.04.2008, 16:13
| #15 |
| | spoolw.exe Hier der Log: Kann ich die Dateien im Registrierungseditor löschen? ComboFix 08-04-14.2 - odkies 2008-04-15 17:01:51.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.512 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\odkies\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\odkies\Anwendungsdaten\install.dat C:\WINDOWS\12951893.exe C:\WINDOWS\12953506.exe C:\WINDOWS\12954107.exe C:\WINDOWS\1497853.exe C:\WINDOWS\4872736.exe C:\WINDOWS\4872916.exe C:\WINDOWS\4872936.exe C:\WINDOWS\5523111.exe C:\WINDOWS\8908930.exe C:\WINDOWS\8909531.exe C:\WINDOWS\8909931.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-03-15 bis 2008-04-15 )))))))))))))))))))))))))))))) . 2008-04-15 16:56 . 2008-04-15 16:56 <DIR> d-------- C:\WINDOWS\LastGood 2008-04-14 22:29 . 2008-04-15 17:06 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2008-04-14 20:51 . 2008-04-14 20:51 126,976 --a------ C:\WINDOWS\xml2u32.dll 2008-04-14 20:17 . 2008-04-14 20:17 <DIR> d-------- C:\WINDOWS\ERUNT 2008-04-14 20:17 . 2008-04-14 20:34 <DIR> d-------- C:\SDFix 2008-04-14 20:04 . 2008-04-14 20:04 <DIR> d-------- C:\_OTMoveIt 2008-04-12 19:04 . 2008-04-12 19:04 <DIR> d-------- C:\Programme\CCleaner 2008-03-21 16:02 . 2008-04-08 13:24 <DIR> d-------- C:\Dokumente und Einstellungen\odkies\Anwendungsdaten\SUPERAntiSpyware.com 2008-03-21 16:02 . 2008-03-21 16:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2008-03-20 21:31 . 2008-03-20 21:31 <DIR> d-------- C:\fsaua.data 2008-03-20 16:30 . 2008-03-20 22:46 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-14 18:03 --------- d-----w C:\Programme\Trillian 2008-03-19 12:51 --------- d-----w C:\Programme\Symphony 2007-10-12 13:20 109 --sha-w C:\WINDOWS\system32\609467646.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{72A128E0-2240-40c8-9E92-5387D64F839E}] 2008-04-14 20:51 126976 --a------ C:\WINDOWS\xml2u32.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "spoolw"="C:\WINDOWS\system32\spoolw.exe" [2004-08-04 00:57 2108] "igfxsvc"="C:\WINDOWS\system32\igfxsvc.exe" [2004-08-04 00:57 2108] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HydraVisionDesktopManager"="C:\Programme\ATI Technologies\HydraVision\HydraDM.exe" [2002-08-14 10:28 262144] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 21:00 315392] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22 35328] "C-Media Mixer"="Mixer.exe" [2001-11-15 12:08 1216512 C:\WINDOWS\mixer.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-07-10 16:31:12 110592] T-Sinus 930 Konfiguration.lnk - C:\Programme\Symphony\maestro.exe [2007-07-10 00:11:30 540729] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{1D516154-6AC0-426C-92A1-FDC0073E8A1B}"= C:\DOKUME~1\odkies\LOKALE~1\Temp\ntwzhook.dll [ ] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2007-05-11 03:06 40048 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxsvc] --a------ 2004-08-04 00:57 2108 C:\WINDOWS\system32\igfxsvc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-01-19 12:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spoolw] --a------ 2004-08-04 00:57 2108 C:\WINDOWS\system32\spoolw.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-07-12 04:00 132496 C:\Programme\Java\jre1.6.0_02\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "usnjsvc"=3 (0x3) "Symphony Switcher Service"=2 (0x2) "gusvc"=2 (0x2) "BITS"=3 (0x3) "AudioSrv"=2 (0x2) "aawservice"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Trillian\\trillian.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "6112:UDP"= 6112:UDP:Startcraft "6119:UDP"= 6119:UDP:Starcraft2 R2 sympxchm;sympxchm;C:\WINDOWS\system32\DRIVERS\sympxchm.sys [2001-09-10 17:42] R3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-08-18 05:27] R3 sympusb;sympusb;C:\WINDOWS\system32\DRIVERS\sympusb.sys [2001-10-22 11:23] S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;C:\DOKUME~1\odkies\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys [] S4 Symphony Switcher Service;Symphony Switcher Service;C:\Programme\Symphony\sw_serv.exe [2002-01-23 09:05] . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-15 17:06:51 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... HKCU\Software\Microsoft\Windows\CurrentVersion\Run spoolw = C:\WINDOWS\system32\spoolw.exe???????????????????????????????????????????????????????????????????????????????????????????????? igfxsvc = C:\WINDOWS\system32\igfxsvc.exe??????????????????????????????????????????????????????????????????????????????????????????????? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-15 17:12:05 ComboFix-quarantined-files.txt 2008-04-15 15:11:03 13 Verzeichnis(se), 28,242,759,680 Bytes frei 17 Verzeichnis(se), 28,189,949,952 Bytes frei . 2008-04-14 20:29:17 --- E O F --- |
|
| Themen zu spoolw.exe |
| acrobat, adobe, bho, button, datei, dateien, einstellungen, explorer, google, hijack, hijackthis, hotkey, internet explorer, log, löschen, pdf, programme, prozess, seite, system, system32, taskmanager, windows, windows xp, ändern, öffnet |
Linear-Darstellung
