Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: sp.ex

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.07.2004, 12:38   #1
Klaus4813
 
sp.ex - Standard

sp.ex



Hallo!

Ich kann die sp.exe nicht entfernen, weil ich in den Taskmanager nicht reinkomme - dieser macht sich sofort wieder zu! Kann mir bitte irgendwer weiterhelfen. Ich kann das Programm nicht entfernen, wenn ich den Prozess nicht beenden kann!

Bitte, um hilfe!

dk klaus

Alt 13.07.2004, 16:41   #2
Sagamore
 
sp.ex - Standard

sp.ex



Deine Angaben sind zwar mehr als dürftig aber vielleicht hiflt dir das hier, um den Prozess zu beenden:

http://www.sysinternals.com/ntw2k/fr.../procexp.shtml

Bitte beachten, dass es unterschiedliche Versionen für verschiedene Betriebssysteme gibt.
__________________

__________________

Alt 14.07.2004, 11:31   #3
Klaus4813
 
sp.ex - Standard

sp.ex



Hallo Sagmore!

Danke für den Tipp konnte den Prozess jetzt beenden und auch die Sp.exe löschen! Ein Problem besteht allerdings nach wie vor. Ich kann immer noch nicht in den Taskmanager rein (das ist noch das geringere Problem, da ich den Prozess ja über das Programm beenden konnte, wo du mir den Link gepostet hast), aber ich kann leider auch nicht in registry rein! Und solange ich da nicht rein kann, wird dieser besch... Trojaner weiter auf meinem Pc vorhanden sein!

Die registry geht genauso wieder Taskmanager ganz kurz auf, und dann sofort wieder zu! Hast du vielleicht auch für dieses Problem eine Lösung - ich wäre dir wirklich sehr, sehr dankbar!
lg klaus
__________________

Alt 14.07.2004, 11:50   #4
Sagamore
 
sp.ex - Standard

sp.ex



Was für ein Schädling war es denn? Welche Antiviren-Software hat dir den gemeldet und wie war der Name. Denn dann könnte man am ehesten rausfinden, wo und wie sich dieser Fiesling in deinem System verewigt hat.

Also mehr Infos zum Betriebssystem, Antiviren-Software etc...
__________________
Sagamore

Alt 14.07.2004, 12:03   #5
mmk
 
sp.ex - Standard

sp.ex



Tja, da liegt wohl grundsätzlich etwas im Argen bei deinem System - vermutlich ist ein Backdoor aktiv, du solltest schnelltens handeln:

http://www.trojaner-board.de/51130-a...ijackthis.html - LogFile erstellen und dann bitte hier posten.


Alt 14.07.2004, 12:28   #6
Klaus4813
 
sp.ex - Standard

sp.ex



Danke Leute für eure Unterstützung:

Logfile of HijackThis v1.98.0
Scan saved at 13:26:04, on 14.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Alcatel\Dragdiag.exe
C:\WINDOWS\System32\Iexplor.exe
C:\WINDOWS\System32\wxepqdb.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\lmrss.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Dokumente und Einstellungen\Klaus Mayr\Anwendungsdaten\soht.exe
C:\WINDOWS\System32\qvfpgfda.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Eigene Dateien\Klaus\Allgemeines\Programme\hijackthis\pruefung.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.at/0SEDEAT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://learn.wu-wien.ac.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.chello.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {62F14124-B548-5DBA-8754-15557BA02941} - C:\WINDOWS\System32\zifi.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\Run: [yahoo.com] Iexplor.exe
O4 - HKLM\..\Run: [MSN Messenger] wxepqdb.exe
O4 - HKLM\..\Run: [restrictanonymous] 
O4 - HKLM\..\Run: [Microsoft Update Machine] lmrss.exe
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKLM\..\RunServices: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\RunServices: [yahoo.com] Iexplor.exe
O4 - HKLM\..\RunServices: [MSN Messenger] wxepqdb.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Microsoft Update Machine] lmrss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [sp] C:\sp.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Msn Messenger Service] messenger.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Klaus Mayr\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [Pcj] C:\WINDOWS\System32\qvfpgfda.exe
O4 - HKCU\..\Run: [yahoo.com] Iexplor.exe
O4 - HKCU\..\Run: [MSN Messenger] wxepqdb.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] lmrss.exe
O4 - HKCU\..\RunServices: [MSN Messenger] wxepqdb.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.chello.at/
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potc_x.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.ntsearch.com/popengine/POP.CHM::/sp.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25763BF7-9A74-4664-9F2A-5FA21636D7D8}: NameServer = 172.27.1.1

Ich hoffe, ihr habt eine Lösung für mich! Danke für eure Mühe!

lg klaus

Alt 14.07.2004, 12:32   #7
Klaus4813
 
sp.ex - Standard

sp.ex



Hallo Sagamore!

Ich habe übers Internet erfahren, dass die sp.exe ein Trojaner ist! Und die habe ich dann auch auf c: gefunden und mehrmals gelöscht! ABer nach jedem mal starten war sie dann wieder da, bis ich gelesen habe, dass ich die Datei in der registry auch löschen muss - und da komme ich jetzt nicht mehr rein, weil sich das blöde Fenster sofort wieder schließt!

Ist total mühsam - die blöden Fenster mit anal... irgendwas gehen auch immer auf und ich krieg einfach nur noch einen läst!

Ich hoffe, du kennst dich jetzt mehr aus, aber wenn du im google "sp.exe" eingebist, kommen sofort einigen Forum-Kommentare dazu!

lg klaus

Alt 14.07.2004, 13:08   #8
mmk
 
sp.ex - Ausrufezeichen

sp.ex



Das sieht nicht gut aus. Mindestens ein Backdoor.Rbot ist aktiv, wenn nicht sogar noch mehr.


Im Einzelnen:

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
-> Das ist eine Adware, aber angesichts der aktiven Backdoors schon fast vernachlässigbar.


C:\WINDOWS\System32\Iexplor.exe
C:\WINDOWS\System32\wxepqdb.exe
C:\WINDOWS\System32\lmrss.exe
C:\Dokumente und Einstellungen\Klaus Mayr\Anwendungsdaten\soht.exe
C:\WINDOWS\System32\qvfpgfda.exe
-> (Backdoor-)Trojaner.


O2 - BHO: (no name) - {62F14124-B548-5DBA-8754-15557BA02941} - C:\WINDOWS\System32\zifi.dll
->Trojaner


O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
-> Adware


O4 - HKLM\..\Run: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\Run: [yahoo.com] Iexplor.exe
O4 - HKLM\..\Run: [MSN Messenger] wxepqdb.exe
O4 - HKLM\..\Run: [restrictanonymous] 
O4 - HKLM\..\Run: [Microsoft Update Machine] lmrss.exe
O4 - HKLM\..\RunServices: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\RunServices: [yahoo.com] Iexplor.exe
O4 - HKLM\..\RunServices: [MSN Messenger] wxepqdb.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Microsoft Update Machine] lmrss.exe
O4 - HKCU\..\Run: [Msn Messenger Service] messenger.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Klaus Mayr\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [Pcj] C:\WINDOWS\System32\qvfpgfda.exe
O4 - HKCU\..\Run: [yahoo.com] Iexplor.exe
O4 - HKCU\..\Run: [MSN Messenger] wxepqdb.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] lmrss.exe
O4 - HKCU\..\RunServices: [MSN Messenger] wxepqdb.exe
-> Backdoors bzw. zugehörige Einträge, mind. Backdoor.Rbot


O4 - HKCU\..\Run: [sp] C:\sp.exe
-> Trojan.Win32.Spooner


O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - h*tp://w*w.mt-download.com/MediaTicketsInstaller.cab
-> Adware


Fazit: dein System ist hoffnungslos verseucht. Da hilft nur Formatieren und Neuaufsetzen mit notwendiger Systemabsicherung vor der danach erfolgenden ersten Internetverbindung.

Alt 14.07.2004, 13:43   #9
Klaus4813
 
sp.ex - Standard

sp.ex



Hallo Markus!

Erstmals Danke für deine Hilfe! Habe die komische Sp.exe nun endlich beseitigen können (mit bitdefender.de) - kann jetzt auch wieder in den Taskmanager sowie in die Registry!

Der Backdoor.rbot wurde anscheinend auch durch dieses Programm entfernt - ich habe jetzt nochmals HijackThis drüberlaufen lassen und poste es hiermit!

Vielleicht kannst du mir sagen inwieweit ich damit jetzt etwas erreicht habe, oder ob ein neu aufsetzen wirklich unumgänglich ist! Es scheint nämlich jetzt wieder zu funktionieren! Das einzige was geblieben ist, dass immer noch die "anal-seiten" aufgehen!

Wäre wirklich nett von dir wenn du das mal kurz anschauen könntest! Danke!!!!


Logfile of HijackThis v1.98.0
Scan saved at 14:39:10, on 14.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Alcatel\Dragdiag.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\lmrss.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Klaus Mayr\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.at/0SEDEAT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://learn.wu-wien.ac.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.chello.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {62F14124-B548-5DBA-8754-15557BA02941} - C:\WINDOWS\System32\zifi.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\Run: [yahoo.com] Iexplor.exe
O4 - HKLM\..\Run: [MSN Messenger] wxepqdb.exe
O4 - HKLM\..\Run: [restrictanonymous] 
O4 - HKLM\..\Run: [Microsoft Update Machine] lmrss.exe
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKLM\..\RunServices: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\RunServices: [yahoo.com] Iexplor.exe
O4 - HKLM\..\RunServices: [MSN Messenger] wxepqdb.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Microsoft Update Machine] lmrss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Msn Messenger Service] messenger.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Klaus Mayr\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [Pcj] C:\WINDOWS\System32\qvfpgfda.exe
O4 - HKCU\..\Run: [yahoo.com] Iexplor.exe
O4 - HKCU\..\Run: [MSN Messenger] wxepqdb.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] lmrss.exe
O4 - HKCU\..\RunServices: [MSN Messenger] wxepqdb.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.chello.at/
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potc_x.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.ntsearch.com/popengine/POP.CHM::/sp.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25763BF7-9A74-4664-9F2A-5FA21636D7D8}: NameServer = 172.27.1.1

lg klaus

Alt 14.07.2004, 14:57   #10
rock
 
sp.ex - Pfeil

sp.ex



au weia, da ist aber noch ne ganze reihe kram dabei

C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\lmrss.exe

O2 - BHO: (no name) - {62F14124-B548-5DBA-8754-15557BA02941} - C:\WINDOWS\System32\zifi.dll

O4 - HKCU\..\Run: [Pcj] C:\WINDOWS\System32\qvfpgfda.exe

hier ist auch noch spyware vertreten:
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"

wenn ich was übersehen hab, wird's wahrscheinlich nimmer sehr ins gewicht fallen bei dem systemzustand.
_____
versuch mal im taskmanager unbekannte oder auf die ursachen hindeutende einträge zu beenden, browser schliesen und temp.internetfiles incl.offlineinhalte löschen, systeminterne XP firewall aktivieren, im abgesicherten modus mit Norton scannen, prüfen über windows update ob alle sicherheitspatch installiert sind, ansonsten unbedingt nachholen...
für WhenUsave eventuell ad aware oder spybot search&destroy verwenden wenn norton es NICHT erkennt...

mehr fällt mir sonst auch nicht ein als was nicht schon von den vorigen usern schon erwähnt wurde.

gruss
rock

Alt 14.07.2004, 15:16   #11
mmk
 
sp.ex - Ausrufezeichen

sp.ex



Zitat:
Zitat von rock
au weia, da ist aber noch ne ganze reihe kram dabei

C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\lmrss.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\wuauclt.exe

...sind aber eher keine Malware, sondern System- bzw. Treiberdateien. Andererseits ist immer noch die Backdoorkompomnente aktiv:

C:\WINDOWS\System32\lmrss.exe

Alt 14.07.2004, 15:25   #12
rock
 
sp.ex - Standard

sp.ex



diese zitierst du, und erwähnst sie aber selbst.
C:\WINDOWS\System32\lmrss.exe

und was war an den beiden 'falsch'?
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\pctspk.exe


gruss
rock

Alt 14.07.2004, 15:29   #13
mmk
 
sp.ex - Standard

sp.ex



Zitat:
Zitat von rock
diese zitierst du, und erwähnst sie aber selbst.
C:\WINDOWS\System32\lmrss.exe
Richtig, weil Backdoor.

Zitat:
und was war an den beiden 'falsch'?
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\pctspk.exe
Dateien für Windows-Update bzw. ein Modem.

Alt 14.07.2004, 15:47   #14
rock
 
sp.ex - Standard

sp.ex



na da wär ich mir diesmal nicht so sicher, zuminderst nicht bei der wuauclt.exe.

des weiteren ist hier auch noch ein wesentlicher eintrag:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

bei dem trojaner um den es noch gehen könnte, betrifft es beide genannten einträge. die wuauclt.exe und die userinit.exe.

am besten die datein onlineprüfen, oder eben abwarten was der Norton-scan im abgesicherten ergeben hat.

besten gruss
rock

edit: schau mal bei Psyme, eventuell könnte es der sein...

Alt 14.07.2004, 15:52   #15
rock
 
sp.ex - Pfeil

sp.ex



hab bei F-Secure etwas gefunden:
http://www.f-secure.de/v-desk/fagot.shtml

IRC-Worm.Fagot, VBS.Psyme, JS/Petch.A.dropper

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "C:\Windows\system32\userinit32.exe"

Er kopiert sich selbst unter verschiedenen Namen in folgende Verzeichnisse:
C:\windows\system32\wuauclt.exe

besten gruss
rock

Antwort

Themen zu sp.ex
beenden, entferne, entfernen, hilfe, programm, prozess, sofort, taskma, taskmanager




Zum Thema sp.ex - Hallo! Ich kann die sp.exe nicht entfernen, weil ich in den Taskmanager nicht reinkomme - dieser macht sich sofort wieder zu! Kann mir bitte irgendwer weiterhelfen. Ich kann das Programm - sp.ex...
Archiv
Du betrachtest: sp.ex auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.