Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: spools.exe (LogFile vorhanden)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.04.2008, 00:47   #1
Vizemeister
 
spools.exe (LogFile vorhanden) - Standard

spools.exe (LogFile vorhanden)



Auf dem Rechner meines Vaters ging heute gar nichts mehr, das System hat pro Sekunde mehrere hundert Mails versendet.

HiJackThis sagte mir, dass es an einer Datei spools.exe im Verzeichnis system32/drivers liegt, ich habe versucht die Datei zu löschen, jedoch stellt sich die Datei anscheindend von alleine wieder her.
Eine zweite schädliche Datei wird auch genannt, diese kann ich ebenfalls nicht löschen, habe es auch in beiden Fällen im abgesicherten Modus versucht.

Hier die Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:15:11, on 03.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\Programme\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\BN7.tmp
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\Büro\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\IEBHO23.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\Administrator.LENZ-5Y7UOKTIOI\cftmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\Büro\cftmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174309744453
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1174309731765
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast4\ashWebSv.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)

--
End of file - 6724 bytes

Alt 03.04.2008, 15:24   #2
Sunny
Administrator
> Competence Manager
 

spools.exe (LogFile vorhanden) - Standard

spools.exe (LogFile vorhanden)



Hallo Vizemeister und




Dein System wird als "Spammaschine" missbraucht, es gehört nicht mehr dir, das Beste wäre ein von Grund auf neu installiertes Windows.

Mach bitte mal folgendes:




Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
  • (lass auch die versteckten Dateien anzeigen!)

Zitat:
C:\WINDOWS\system32\IEBHO23.dll
C:\WINDOWS\TEMP\BN7.tmp
C:\WINDOWS\system32\drivers\spools.exe
C:\Dokumente und Einstellungen\Administrator.LENZ-5Y7UOKTIOI\cftmon.exe
C:\Dokumente und Einstellungen\Büro\cftmon.exe
C:\WINDOWS\SYSTEM32\WLCtrl32.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Für dein System gibt es keine Rettung mehr, hier gilt nur noch eine Neuinstallation des Betriebssystems ->
http://www.trojaner-board.de/51262-n...sicherung.html

Sunny
__________________

__________________

Alt 03.04.2008, 17:41   #3
Vizemeister
 
spools.exe (LogFile vorhanden) - Standard

spools.exe (LogFile vorhanden)



C:\WINDOWS\system32\IEBHO23.dll:


Datei IEBHO23.dll empfangen 2008.04.03 17:19:31 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 17/32 (53.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.3.3 2008.04.03 -
AntiVir 7.6.0.80 2008.04.03 TR/Spy.Goldun.adg
Authentium 4.93.8 2008.04.03 -
Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.03 PSW.Banker4.XZZ
BitDefender 7.2 2008.04.03 -
CAT-QuickHeal 9.50 2008.04.02 -
ClamAV 0.92.1 2008.04.03 PUA.Packed.UPack
DrWeb 4.44.0.09170 2008.04.03 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5667 2008.04.03 -
Ewido 4.0 2008.04.03 -
F-Prot 4.4.2.54 2008.04.02 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.04.03 Trojan-Spy.Win32.Goldun.adg
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.03 -
Ikarus T3.1.1.20 2008.04.03 Trojan-Spy.Win32.Banbra.hb
Kaspersky 7.0.0.125 2008.04.03 Trojan-Spy.Win32.Goldun.adg
McAfee 5265 2008.04.02 Spy-Agent.cq
Microsoft 1.3408 2008.04.03 VirTool:Win32/Obfuscator.C
NOD32v2 2999 2008.04.03 Win32/Spy.Banker.ORW
Norman 5.80.02 2008.04.03 W32/Goldun.BUP
Panda 9.0.0.4 2008.04.03 Suspicious file
Prevx1 V2 2008.04.03 Generic.Malware
Rising 20.38.60.00 2008.04.03 -
Sophos 4.28.0 2008.04.03 Mal/EncPk-BW
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 Trojan/Spy.Goldun.adg
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.03 Packed/Upack
Webwasher-Gateway 6.6.2 2008.04.03 Trojan.Spy.Goldun.adg
weitere Informationen
File size: 77185 bytes
MD5: a367fcd86ba7734ce6d14593cdfde3b3
SHA1: dfb711bd19e3f8465322376f0904d0660bf60ac5
PEiD: WinUpack v0.39 final (relocated image base) -> By Dwing (c)2005 (h2)
packers: UPack
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=C682100681E94F092DEA01D0B1AD05006C868644

C:\WINDOWS\TEMP\BN7.tmp:

Datei BN7.tmp empfangen 2008.04.03 17:20:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 14/32 (43.75%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.3.3 2008.04.03 -
AntiVir 7.6.0.80 2008.04.03 TR/Dldr.Agent.mgh.11
Authentium 4.93.8 2008.04.03 -
Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.03 Downloader.Agent.AERC
BitDefender 7.2 2008.04.03 DeepScan:Generic.Malware.SFYd.F3BDC9F9
CAT-QuickHeal 9.50 2008.04.02 TrojanDownloader.Agent.mgh
ClamAV None 2008.04.03 -
DrWeb 4.44.0.09170 2008.04.03 Trojan.DownLoader.55595
eSafe 7.0.15.0 2008.04.01 suspicious Trojan/Worm
eTrust-Vet 31.3.5667 2008.04.03 Win32/VMalum.CKLG
Ewido 4.0 2008.04.03 -
F-Prot 4.4.2.54 2008.04.02 -
F-Secure 6.70.13260.0 2008.04.03 Trojan-Downloader.Win32.Agent.mgh
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.03 -
Ikarus T3.1.1.20 2008.04.03 Trojan-Downloader.Win32.Agent.leu
Kaspersky 7.0.0.125 2008.04.03 Trojan-Downloader.Win32.Agent.mgh
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 Spammer:Win32/Newacc.A
NOD32v2 2999 2008.04.03 -
Norman 5.80.02 2008.04.03 W32/Agent.FBEZ
Panda 9.0.0.4 2008.04.03 -
Prevx1 V2 2008.04.03 TROJAN.PANDEX
Rising 20.38.60.00 2008.04.03 -
Sophos 4.28.0 2008.04.03 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.03 -
Webwasher-Gateway 6.6.2 2008.04.03 Trojan.Dldr.Agent.mgh.11
weitere Informationen
File size: 46592 bytes
MD5: 8c67d17237aa64cded8e81c314b86f06
SHA1: 58ee104c8aee2726516c61cee31eff6b7841aae3
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DA1C6707007FE0B4B6C7004787F22C00181B2D60

C:\WINDOWS\system32\drivers\spools.exe:

Datei kann nicht hochgeladen werden.

Die Datei ist nach´m Neustart nicht mehr da, gestern als ich heruntergefahren habe war sie aber noch da !?



C:\Dokumente und Einstellungen\Administrator\cftmon.exe:

Datei cftmon.exe empfangen 2008.04.03 17:21:27 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 18/32 (56.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.3.3 2008.04.03 -
AntiVir 7.6.0.80 2008.04.03 TR/Dldr.iBill.AG
Authentium 4.93.8 2008.04.03 W32/Dropper.gen6
Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.03 Generic10.EQZ
BitDefender 7.2 2008.04.03 Trojan.Crypt.AS
CAT-QuickHeal 9.50 2008.04.02 TrojanDownloader.Small.uam
ClamAV 0.92.1 2008.04.03 -
DrWeb 4.44.0.09170 2008.04.03 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5667 2008.04.03 Win32/VMalum.CKHR
Ewido 4.0 2008.04.03 -
F-Prot 4.4.2.54 2008.04.02 W32/Backdoor2.YDC
F-Secure 6.70.13260.0 2008.04.03 Trojan-Downloader.Win32.Small.uam
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.03 -
Ikarus T3.1.1.20 2008.04.03 Trojan.Agent.AHFY
Kaspersky 7.0.0.125 2008.04.03 Trojan-Downloader.Win32.Small.uam
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 Backdoor:Win32/Koceg.gen!A
NOD32v2 2999 2008.04.03 Win32/TrojanDownloader.Small.OBC
Norman 5.80.02 2008.04.03 W32/Smalltroj.DQAO
Panda 9.0.0.4 2008.04.03 Trj/Agent.ILU
Prevx1 V2 2008.04.03 Heuristic: Suspicious Self Modifying File
Rising 20.38.60.00 2008.04.03 -
Sophos 4.28.0 2008.04.03 Mal/Generic-A
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.03 Trojan.DL.Ibill.B
Webwasher-Gateway 6.6.2 2008.04.03 Trojan.Dldr.iBill.AG
weitere Informationen
File size: 79570 bytes
MD5: 1ece24f1bbff801cbd73deb0079d7461
SHA1: 6e5426eed0801694b773f68936773a96a999a5ec
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=426CFDFCD245BF4736F501D35741AC00AB42ED21


C:\Dokumente und Einstellungen\Büro\cftmon.exe:


Datei cftmon.exe empfangen 2008.04.03 17:24:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 18/32 (56.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.3.3 2008.04.03 -
AntiVir 7.6.0.80 2008.04.03 TR/Dldr.iBill.AG
Authentium 4.93.8 2008.04.03 W32/Dropper.gen6
Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.03 Generic10.EQZ
BitDefender 7.2 2008.04.03 Trojan.Crypt.AS
CAT-QuickHeal 9.50 2008.04.02 TrojanDownloader.Small.uam
ClamAV 0.92.1 2008.04.03 -
DrWeb 4.44.0.09170 2008.04.03 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5667 2008.04.03 Win32/VMalum.CKHR
Ewido 4.0 2008.04.03 -
F-Prot 4.4.2.54 2008.04.02 W32/Backdoor2.YDC
F-Secure 6.70.13260.0 2008.04.03 Trojan-Downloader.Win32.Small.uam
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.03 -
Ikarus T3.1.1.20 2008.04.03 Trojan.Agent.AHFY
Kaspersky 7.0.0.125 2008.04.03 Trojan-Downloader.Win32.Small.uam
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 Backdoor:Win32/Koceg.gen!A
NOD32v2 2999 2008.04.03 Win32/TrojanDownloader.Small.OBC
Norman 5.80.02 2008.04.03 W32/Smalltroj.DQAO
Panda 9.0.0.4 2008.04.03 Trj/Agent.ILU
Prevx1 V2 2008.04.03 Heuristic: Suspicious Self Modifying File
Rising 20.38.60.00 2008.04.03 -
Sophos 4.28.0 2008.04.03 Mal/Generic-A
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.03 Trojan.DL.Ibill.B
Webwasher-Gateway 6.6.2 2008.04.03 Trojan.Dldr.iBill.AG
weitere Informationen
File size: 85660 bytes
MD5: ea51c29605e513f6c75c71fe47a912f0
SHA1: 5c9174ef9a152d4039670acbbe77987805d54609
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=426CFDFC9C913D7B4E0B014DB8A4AA00D364FC1A


C:\WINDOWS\SYSTEM32\WLCtrl32.dll:

Datei WLCtrl32.dll empfangen 2008.04.03 17:25:18 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 11/31 (35.49%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.3.3 2008.04.03 -
AntiVir 7.6.0.80 2008.04.03 TR/Agent.11264.71
Authentium 4.93.8 2008.04.03 -
Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.03 -
BitDefender 7.2 2008.04.03 Trojan.Kobcka.DK
CAT-QuickHeal 9.50 2008.04.02 -
ClamAV 0.92.1 2008.04.03 -
DrWeb 4.44.0.09170 2008.04.03 Trojan.DownLoader.54123
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5667 2008.04.03 -
Ewido 4.0 2008.04.03 -
F-Prot 4.4.2.54 2008.04.02 -
F-Secure 6.70.13260.0 2008.04.03 Trojan-Downloader.Win32.Mutant.ci
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.03 -
Ikarus T3.1.1.20 2008.04.03 -
Kaspersky 7.0.0.125 2008.04.03 Trojan-Downloader.Win32.Mutant.ci
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 TrojanDropper:Win32/Cutwail.Z
NOD32v2 2999 2008.04.03 -
Norman 5.80.02 2008.04.03 -
Panda 9.0.0.4 2008.04.03 Trj/BedeTres.Q
Prevx1 V2 2008.04.03 Generic.Malware
Rising 20.38.60.00 2008.04.03 Trojan.Win32.Undef.ems
Sophos 4.28.0 2008.04.03 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 -
VirusBuster 4.3.26:9 2008.04.03 Trojan.DR.Pandex.Gen.4
Webwasher-Gateway 6.6.2 2008.04.03 Trojan.Agent.11264.71
weitere Informationen
File size: 10752 bytes
MD5: 16a84352318ba1c28d77d6b577d1cff4
SHA1: f5adb1f36908b4021a15baa37597a41b6ef01a85
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4E91B26500D11FEC2A5F003B42F37D00191DE38F
__________________

Alt 03.04.2008, 17:56   #4
Sunny
Administrator
> Competence Manager
 

spools.exe (LogFile vorhanden) - Standard

spools.exe (LogFile vorhanden)



Zitat:
Zitat von SpyGoldun

Auswirkungen:

• Änderung an der Registry
• Stiehlt Informationen

Zitat:
Zitat von Trojan.Pendex
Auswirkungen:

Trojan.Pandex is a Trojan horse that sends spam from a remote server and gathers email addresses from the compromised computer.

Zitat:
Zitat von Troj/Agent-GRO
Auswirkungen:

...a backdoor Trojan which allows a remote intruder to gain access and control over the computer.

Zitat:
Zitat von Mal/Generic-A
Auswirkungen:

describes an executable file that displays characteristics or behavior that are found exclusively within malware and are therefore blocked to prevent likely intrusion, disruption or damage to computer systems.

Ich denke das sollte auch dir klar machen was nun zu tun ist.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 03.04.2008, 19:01   #5
Vizemeister
 
spools.exe (LogFile vorhanden) - Standard

spools.exe (LogFile vorhanden)



Also Windows neu aufsetzen ? Okay das wäre kein Problem.

Laut deinem Link oben kann ich also alle Dateien wie WordDokumente, Bilder usw ohne Gefahr sichern und dann später wieder auf den Computer übertragen ?


Alt 03.04.2008, 19:12   #6
Sunny
Administrator
> Competence Manager
 

spools.exe (LogFile vorhanden) - Standard

spools.exe (LogFile vorhanden)



Zitat:
Zitat von Vizemeister Beitrag anzeigen
Laut deinem Link oben kann ich also alle Dateien wie WordDokumente, Bilder usw ohne Gefahr sichern und dann später wieder auf den Computer übertragen ?
Du kannst die Daten sichern, jedoch solltest du auch ausführbare Dateien wie z.B. Treiber.exe (Mainboard-Treiber) verzichten. Und diese im nachhinein neu herunterladen.
Sie könnten unter Umständen infiziert worden sein.
__________________
--> spools.exe (LogFile vorhanden)

Alt 04.04.2008, 16:21   #7
Vizemeister
 
spools.exe (LogFile vorhanden) - Standard

spools.exe (LogFile vorhanden)



So, System ist neu aufgesetzt, private Daten übernommen und eingeschränkte Konten eingerichtet.

Erster Scan und HijackThis geben grünes Licht.

Dann danke ich dir mal für deine Hilfe

Antwort

Themen zu spools.exe (LogFile vorhanden)
abgesicherten modus, adobe, antivirus, autoload, avast, avast!, bho, desktop, einstellungen, explorer, google, helper, hkus\s-1-5-18, home, internet, internet explorer, jusched.exe, log, logfile, löschen, mehrere, microsoft, ntuser, pdf, programme, software, system, temp, urlsearchhook, usb, windows, windows xp, windows\system32\drivers, windows\temp



Ähnliche Themen: spools.exe (LogFile vorhanden)


  1. Trojaner? Logfile ist vorhanden
    Log-Analyse und Auswertung - 10.12.2013 (6)
  2. KOBIK-Trojaner eingefangen.. FRST-Logfile bereits vorhanden
    Plagegeister aller Art und deren Bekämpfung - 03.10.2013 (12)
  3. Win7: GVU Trojaner, Abgesicherter Modus sowie Booten von USB und CD nicht möglich, FRST Logfile vorhanden
    Log-Analyse und Auswertung - 29.08.2013 (21)
  4. Virus vorhanden?
    Plagegeister aller Art und deren Bekämpfung - 04.01.2013 (28)
  5. Browser ge-hijacked (Logfile Auswertung ist vorhanden)
    Log-Analyse und Auswertung - 23.10.2012 (2)
  6. Trojaner (Bundespolizei, Ukash) auf WinXP - OTL logfile vorhanden
    Plagegeister aller Art und deren Bekämpfung - 21.08.2012 (6)
  7. Trojaner, weißer Bildschirm, auch abgesicherter Modus (OTL Logfile bereits vorhanden)
    Log-Analyse und Auswertung - 18.08.2012 (9)
  8. Bundestrojaner evtl . noch vorhanden, ComboFix + Malwarebytes ausgeführt, Logfiles vorhanden
    Log-Analyse und Auswertung - 28.07.2012 (5)
  9. Bundespolizei / UKash Virus, OTL Logfile bereits vorhanden...
    Log-Analyse und Auswertung - 28.10.2011 (42)
  10. Internet wird extrem langsam (von 1,5MB auf 100-200KB) Logfile vorhanden
    Log-Analyse und Auswertung - 21.10.2011 (1)
  11. bka-Trojaner otl.txt vorhanden
    Log-Analyse und Auswertung - 29.04.2011 (21)
  12. Alle Fotos weg, wie bekomm ich Trojaner weg - Logfile vorhanden
    Log-Analyse und Auswertung - 04.09.2010 (10)
  13. IE öffnet sich von alleine und zeigt Werbung an....Hijackthis-Logfile vorhanden!
    Log-Analyse und Auswertung - 21.07.2010 (3)
  14. Ungewollte Werbefenster trotz mehrer Malware Scans!! HJT-Logfile & Navilog1 vorhanden
    Log-Analyse und Auswertung - 29.11.2008 (1)
  15. Ständiges WINDOWS SECURITY ALERT: Wie entferne ich diesen Trojaner? Logfile vorhanden
    Plagegeister aller Art und deren Bekämpfung - 01.08.2008 (7)
  16. Problem mit smitfraud.c, logfile und smitfile vorhanden!
    Log-Analyse und Auswertung - 30.01.2008 (7)
  17. ein weiterer DAU ersucht um Hiiiilfe, LogFile vorhanden,
    Log-Analyse und Auswertung - 18.01.2005 (7)

Zum Thema spools.exe (LogFile vorhanden) - Auf dem Rechner meines Vaters ging heute gar nichts mehr, das System hat pro Sekunde mehrere hundert Mails versendet. HiJackThis sagte mir, dass es an einer Datei spools.exe im Verzeichnis - spools.exe (LogFile vorhanden)...
Archiv
Du betrachtest: spools.exe (LogFile vorhanden) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.