Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
spoolsv.exe im Tempverzeichnis

spoolsv.exe im Tempverzeichnis


Log-Analyse und Auswertung: spoolsv.exe im Tempverzeichnis

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 05.12.2008, 16:19   #1
lippo
 
spoolsv.exe im Tempverzeichnis - Standard

spoolsv.exe im Tempverzeichnis


Moin,
nachdem ich nun auf etlichen Wegen versucht habe meinem Trojanerbefall Herr zu werden, gebe ich nun auf und erhoffe mir Hilfe.

Aufgefallen ist mir das vermeintliche Problem, als aus heiterm Himmel Viren/Trojaner (weiß leider nicht mehr welche) im TempVerzeichnis gefunden wurden. Ich dachte mir zunächst nicht viel dabei und rechnete damit, dass diese wohl von irgendeiner Website dorthingelangt sind - aber ja von AVG entdeckt und vernichtet wurden.
Misstrauisch wurde ich dann jedoch, als sich die Funde häuften. Ich schaute mir das TempVerzeichnis einmal an und fand dort eine spoolsv.exe und einen Odner "~tmp" welcher als SystemDatei markiert war und somit versteckt wurde. Darin befinden sich Ordner mit kryptischen Namen (zB lvprf07) mit Programmen, die unscheinbare Namen (zB csrss.exe) tragen.

Ich machte mich daran alle mir merkwürdig vorkommenden Prozesse zu beenden und löschte das TempVerzeichnis. Außerdem durchsuchte ich den Autostart. Leider tauchte der Ordner (~tmp) und die spoolsv.exe immer wieder auf. Dann überwachte ich den TempOrdner einmal mit dem Sysinternals Filemon und musste feststellen, dass ganz normale Anwendungen von mir (zB RocketDock oder UltraVNC) scheinbar auf den Ordner zugreifen.

Habe deswegen noch folgende Tools zur Hilfe genommen, leider hat bis heute nichts an dem Erscheinen vom Ordner geändert:
  • AVG free komplett scan (keine Befunde)
  • a-squared Free 3.5 Scan (Trace.Registry Einträge gefunden und entfernt)
  • Blacklight Rootkit Scan (keine Befunde)
  • Simply Super Software Torjan Remover (verdächte und versteckte Starteinträge gefunden und entfernt)

Nun habe ich auch einmal HijackThis darüberlaufen lassen:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:16, on 05.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Sicherheit\a-squared Free\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\SICHER~1\AVG8\avgwdsvc.exe
C:\Sicherheit\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\system32\oodag.exe
C:\SICHER~1\AVG8\avgrsx.exe
C:\Benutzer\***\LOKALE~1\Temp\spoolsv.exe
C:\System Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\SICHER~1\AVG8\avgtray.exe
C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Sicherheit\TrueCrypt\TrueCrypt.exe
C:\Office\Microsoft ActiveSync\Wcescomm.exe
C:\System Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\System Programme\Copy Handler\ch.exe
C:\Office\MICROS~1\rapimgr.exe
C:\Treiber\Logitech\SetPoint\SetPoint.exe
C:\Treiber\USBKVM Switcher\USBKVM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Sicherheit\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
F3 - REG:win.ini: load=C:\Benutzer\***\ANWEND~1\mstinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Office\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Sicherheit\AVG8\avgssie.dll
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CB} - C:\Benutzer\***\LOKALE~1\Temp\mrtdgs5.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\System Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\SICHER~1\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [TrueCrypt] "C:\Sicherheit\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Office\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\System Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Copy Handler] C:\System Programme\Copy Handler\ch.exe
O4 - HKLM\..\Policies\Explorer\Run: [Spool] C:\Benutzer\***\LOKALE~1\Temp\spoolsv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\comrepl.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Treiber\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: USBKVM Switcher.lnk = C:\Treiber\USBKVM Switcher\USBKVM.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Office\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Office\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208078997812
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Sicherheit\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Sicherheit\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\SICHER~1\AVG8\avgwdsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Sicherheit\Cisco VPN Client\cvpnd.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 9713 bytes
Gerade bin ich durch das Forum noch auf Malwarebytes Anti-Malware gestoßen, dass werde ich auch noch einmal drüberlaufen lassen. Ansonsten dachte ich noch an einen Knoopcillin-Scan und im Notfall bleibt wohl nur eine Reinstallation vom System ... meine arme Zeit!

Alt 05.12.2008, 18:54   #2
john.doe
 
spoolsv.exe im Tempverzeichnis - Standard

spoolsv.exe im Tempverzeichnis


Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\Benutzer\***\LOKALE~1\Temp\spoolsv.exe
C:\Benutzer\***\ANWEND~1\mstinit.exe
C:\Benutzer\***\LOKALE~1\Temp\mrtdgs5.dll
Die Tilden durch die vollständigen Namen ersetzen.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas
__________________
Alt 05.12.2008, 21:00   #3
lippo
 
spoolsv.exe im Tempverzeichnis - Daumen hoch

spoolsv.exe im Tempverzeichnis


Oh klasse ... viel zu tun ... ich war allerdings in der Zeit nicht untätig und habe Anti-Malware durchlaufen lassen, wobei einige Sachen gefunden wurden (siehe Log, habe bis jetzt noch kein weiteres mal durchlaufen lassen - dauert ja 1 1/2 Stunden je Run) ... außerdem habe ich mir mittels Sysinternals Autoruns einmal den Startup angeschaut und einen Autostart auf die spoolsv.exe im Tempverzeichnis entfernt.
Leider habe ich vor deinem Post bereits die fraglichen Dateien gelöscht und konnte sie somit nicht mehr hochladen. Allerdings überwache ich seit dem auch mittels Filemon mein Tempverzeichnis und muss sagen, dass sich dieses, bis jetzt, nicht mit uminösen Dateien gefüllt hat. Allerdings versuchten einige Anwendungen auf die spoolsv.exe im Temp Verzeichnis zuzugreifen. Hier einmal Ausschnitte aus dem Log:

Code:
ATTFilter
3	18:32:51	procexp.exe:3372	OPEN	C:\BENUTZER\LIPPO\LOKALE EINSTELLUNGEN\TEMP\SPOOLSV.EXE	NOT FOUND	Options: Open  Access: 00000081	
4	18:32:51	procexp.exe:3372	OPEN	C:\BENUTZER\LIPPO\LOKALE~1\TEMP\~TMP\SHBDCHK15\SMSS.EXE	PATH NOT FOUND	Options: Open  Access: 00000081	

269	18:33:01	svchost.exe:1624	QUERY INFORMATION	C:\BENUTZER\LIPPO\LOKALE EINSTELLUNGEN\TEMP\SPOOLSV.EXE	NOT FOUND	Attributes: Error	
270	18:33:01	svchost.exe:1624	OPEN	C:\BENUTZER\LIPPO\LOKALE EINSTELLUNGEN\TEMP\SPOOLSV.EXE	NOT FOUND	Options: Open  Access: 00020088	
271	18:33:01	svchost.exe:1624	QUERY INFORMATION	C:\BENUTZER\LIPPO\LOKALE~1\TEMP\SPOOLSV.EXE	NOT FOUND	Attributes: Error	
272	18:33:01	svchost.exe:1624	QUERY INFORMATION	C:\BENUTZER\LIPPO\LOKALE~1\TEMP\~TMP\SHBDCHK15\SMSS.EXE	PATH NOT FOUND	Attributes: Error	
273	18:33:01	svchost.exe:1624	OPEN	C:\BENUTZER\LIPPO\LOKALE~1\TEMP\~TMP\SHBDCHK15\SMSS.EXE	PATH NOT FOUND	Options: Open  Access: 00020088	

399	20:14:32	fsbl.exe:1380	QUERY INFORMATION	C:\Benutzer\lippo\LOKALE~1\Temp\spoolsv.exe	NOT FOUND	Attributes: Error	

418	20:16:41	fsbl.exe:2156	QUERY INFORMATION	C:\Benutzer\lippo\LOKALE~1\Temp\spoolsv.exe	NOT FOUND	Attributes: Error
Jedenfalls bin ich gerade sehr zuversichtlich, den Trojaner bereits losgeworden zu sein.

Aber die angeforderten Logs habe ich natürlich noch gemacht ^^

MBR-Tool
Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
BlackLight
Code:
ATTFilter
12/05/08 20:16:32 [Info]: BlackLight Engine 2.2.1092 initialized
12/05/08 20:16:32 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/05/08 20:16:32 [Note]: 7019 4
12/05/08 20:16:32 [Note]: 7005 0
12/05/08 20:16:41 [Note]: 7006 0
12/05/08 20:16:41 [Note]: 7011 932
12/05/08 20:16:41 [Note]: 7035 0
12/05/08 20:16:41 [Note]: 7026 0
12/05/08 20:16:41 [Note]: 7026 0
12/05/08 20:16:42 [Note]: FSRAW library version 1.7.1024
12/05/08 20:21:38 [Note]: 2000 1012
12/05/08 20:21:49 [Note]: 7007 0
Anti-Malware
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1463
Windows 5.1.2600 Service Pack 3

05.12.2008 17:56:29
mbam-log-2008-12-05 (17-56-25).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 213900
Laufzeit: 1 hour(s), 30 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{40205287-e793-41ac-b95c-d8d064ba33cb} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{40205287-e793-41ac-b95c-d8d064ba33cb} (Trojan.BHO.H) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\comrepl (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\Benutzer\lippo\Lokale Einstellungen\Temp\mrtdgs5.dll (Trojan.BHO.H) -> No action taken.
C:\WINDOWS\comrepl.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\system\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
der Silentrunner kommt einfach in einen extra Post

HiJackThis
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:23, on 05.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\SICHER~1\AVG8\avgwdsvc.exe
C:\Sicherheit\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\SICHER~1\AVG8\avgrsx.exe
C:\System Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Sicherheit\TrueCrypt\TrueCrypt.exe
C:\Office\Microsoft ActiveSync\Wcescomm.exe
C:\System Programme\RocketDock\RocketDock.exe
C:\Office\MICROS~1\rapimgr.exe
C:\System Programme\Copy Handler\ch.exe
C:\Treiber\Logitech\SetPoint\SetPoint.exe
C:\Treiber\USBKVM Switcher\USBKVM.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Benutzer\***\Desktop\Filemon\Filemon.exe
C:\Internet\Mozilla Firefox\firefox.exe
C:\System Programme\Notepad++\notepad++.exe
C:\Sicherheit\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Office\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Sicherheit\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\System Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\SICHER~1\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKCU\..\Run: [TrueCrypt] "C:\Sicherheit\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Office\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\System Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Copy Handler] C:\System Programme\Copy Handler\ch.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Treiber\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: USBKVM Switcher.lnk = C:\Treiber\USBKVM Switcher\USBKVM.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Office\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Office\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208078997812
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Sicherheit\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\SICHER~1\AVG8\avgwdsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Sicherheit\Cisco VPN Client\cvpnd.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 8798 bytes
Ich hoffe, dass ich nichts vergessen habe ... wegen dem HiJackThis, da habe ich jedoch erst einmal meine installierte Version genommen. War mir nicht ganz sicher, wie ich genau verfahren soll. Runterladen, umbenennen, ausführen? bzw. warum diese Version der Installierten überhaupt vorzuziehen ist?

Ach genau ... danke für die freundliche Begrüßung und vor allem für die schnelle Hilfe!
__________________
Alt 05.12.2008, 21:01   #4
lippo
 
spoolsv.exe im Tempverzeichnis - Standard

spoolsv.exe im Tempverzeichnis


Silentrunner
Code:
ATTFilter
"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"TrueCrypt" = ""C:\Sicherheit\TrueCrypt\TrueCrypt.exe" /q preferences" ["TrueCrypt Foundation"]
"H/PC Connection Agent" = ""C:\Office\Microsoft ActiveSync\Wcescomm.exe"" [MS]
"RocketDock" = ""C:\System Programme\RocketDock\RocketDock.exe"" [null data]
"Copy Handler" = "C:\System Programme\Copy Handler\ch.exe" [" "]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NotebookHardwareControl" = ""C:\System Programme\Notebook Hardware Control\nhc.exe" -quiet" [null data]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"AVG8_TRAY" = "C:\SICHER~1\AVG8\avgtray.exe" ["AVG Technologies CZ, s.r.o."]
"Copy Handler" = "(empty string)" [file not found]
"Kernel and Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech, Inc."]
"Corel File Shell Monitor" = "C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe" ["Corel, Inc."]
"ATIPTA" = "C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE" ["ATI Technologies, Inc."]

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
                                        \StubPath   = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
                                        \StubPath   = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\(Default) = "WormRadar.com IESiteBlocker.NavFilter"
  -> {HKLM...CLSID} = "AVG Safe Search"
                   \InProcServer32\(Default) = "C:\Sicherheit\AVG8\avgssie.dll" ["AVG Technologies CZ, s.r.o."]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Conversion Toolbar Helper"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
  -> {HKLM...CLSID} = "7-Zip Shell Extension"
                   \InProcServer32\(Default) = "C:\System Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG8 Shell Extension"
  -> {HKLM...CLSID} = "AVG8 Shell Extension Class"
                   \InProcServer32\(Default) = "C:\Sicherheit\AVG8\avgse.dll" ["AVG Technologies CZ, s.r.o."]
"{49BF5420-FA7F-11cf-8011-00A0C90A8F78}" = "Mobile Device"
  -> {HKLM...CLSID} = "Mobiles Gerät"
                   \InProcServer32\(Default) = "C:\Office\MICROS~1\Wcesview.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
  -> {HKLM...CLSID} = "Microsoft Office Outlook"
                   \InProcServer32\(Default) = "C:\Office\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "C:\Office\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Office\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
  -> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
  -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{506F4668-F13E-4AA1-BB04-B43203AB3CC0}" = "{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"
  -> {HKLM...CLSID} = "ImageExtractorShellExt Class"
                   \InProcServer32\(Default) = "C:\Office\Microsoft Office\Office12\VISSHE.DLL" [MS]
"{D66DC78C-4F61-447F-942B-3FB6980118CF}" = "{D66DC78C-4F61-447F-942B-3FB6980118CF}"
  -> {HKLM...CLSID} = "CInfoTipShellExt Class"
                   \InProcServer32\(Default) = "C:\Office\Microsoft Office\Office12\VISSHE.DLL" [MS]
"{22061966-0307-0804-1705-200203000001}" = "FontExpertShellExt Class"
  -> {HKLM...CLSID} = "FontExpertShellExt Class"
                   \InProcServer32\(Default) = "C:\Office\FontExpert\FontExpertExt.dll" ["Proxima Software"]
"{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C}" = "Logitech Setpoint Extension"
  -> {HKLM...CLSID} = "KbLogiExt Class"
                   \InProcServer32\(Default) = "C:\Treiber\Logitech\SetPoint\kbcplext.dll" ["Logitech, Inc."]
"{B9B9F083-2B04-452A-8691-83694AC1037B}" = "Logitech Setpoint Extension"
  -> {HKLM...CLSID} = "LogiExt Class"
                   \InProcServer32\(Default) = "C:\Treiber\Logitech\SetPoint\mcplext.dll" ["Logitech, Inc."]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
  -> {HKLM...CLSID} = "Acrobat Elements Context Menu"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{E81FFB23-40E2-431C-A041-76AEA0E4B04C}" = "Nameext"
  -> {HKLM...CLSID} = "Enterprise-Projekte"
                   \InProcServer32\(Default) = "C:\Office\MICROS~2\Office12\NAMEEXT.DLL" [MS]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Office\OpenOffice\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Office\OpenOffice\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Office\OpenOffice\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Office\OpenOffice\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"OODBS" ["O&O Software GmbH"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]
<<!>> LBTWlgn\DLLName = "c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll" ["Logitech, Inc."]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Office\OpenOffice\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
  -> {HKLM...CLSID} = "7-Zip Shell Extension"
                   \InProcServer32\(Default) = "C:\System Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
  -> {HKLM...CLSID} = "Acrobat Elements Context Menu"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
AVG8 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
  -> {HKLM...CLSID} = "AVG8 Shell Extension Class"
                   \InProcServer32\(Default) = "C:\Sicherheit\AVG8\avgse.dll" ["AVG Technologies CZ, s.r.o."]
chext\(Default) = "{E7A4C2DA-F3AF-4145-AC19-E3B215306A54}"
  -> {HKLM...CLSID} = "MenuExt Class"
                   \InProcServer32\(Default) = "C:\System Programme\Copy Handler\chext.dll" [null data]
Notepad++\(Default) = "{120B94B5-2E6A-4F13-94D0-414BCB64FA0F}"
  -> {HKLM...CLSID} = "Notepad++"
                   \InProcServer32\(Default) = "C:\System Programme\Notepad++\nppcm.dll" ["Burgaud.com"]
WinMerge\(Default) = "{4E716236-AA30-4C65-B225-D68BBA81E9C2}"
  -> {HKLM...CLSID} = "WinMergeShell Class"
                   \InProcServer32\(Default) = "C:\Entwicklung\WinMerge\ShellExtensionU.dll" ["http://winmerge.org"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
  -> {HKLM...CLSID} = "7-Zip Shell Extension"
                   \InProcServer32\(Default) = "C:\System Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
chext\(Default) = "{E7A4C2DA-F3AF-4145-AC19-E3B215306A54}"
  -> {HKLM...CLSID} = "MenuExt Class"
                   \InProcServer32\(Default) = "C:\System Programme\Copy Handler\chext.dll" [null data]
WinMerge\(Default) = "{4E716236-AA30-4C65-B225-D68BBA81E9C2}"
  -> {HKLM...CLSID} = "WinMergeShell Class"
                   \InProcServer32\(Default) = "C:\Entwicklung\WinMerge\ShellExtensionU.dll" ["http://winmerge.org"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
AVG8 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
  -> {HKLM...CLSID} = "AVG8 Shell Extension Class"
                   \InProcServer32\(Default) = "C:\Sicherheit\AVG8\avgse.dll" ["AVG Technologies CZ, s.r.o."]
chext\(Default) = "{E7A4C2DA-F3AF-4145-AC19-E3B215306A54}"
  -> {HKLM...CLSID} = "MenuExt Class"
                   \InProcServer32\(Default) = "C:\System Programme\Copy Handler\chext.dll" [null data]
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Sicherheit\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Sicherheit\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ForceClassicControlPanel" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"NoLowDiskSpaceChecks" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"ForceStartMenuLogoff" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"NoSMConfigurePrograms" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"ClearRecentDocsOnExit" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"StartMenuLogOff" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"EnableLUA" = (REG_DWORD) dword:0x00000000
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Run All Administrators In Admin Approval Mode}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Eigene Dateien\Eigene Bilder\wallpapers\***.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Benutzer\***\Eigene Dateien\Eigene Bilder\wallpapers\***.bmp"


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

CDBurnerXP\
"Provider" = "CDBurnerXP"
"InvokeProgID" = "CDBurnerXPOpen"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\CDBurnerXPOpen\shell\open\command\(Default) = ""C:\System Programme\CDBurnerXP\cdbxpp.exe"" [null data]

Corel Paint Shop Pro Photo X2ShowPicturesOnArrivalHandler\
"Provider" = "Corel Paint Shop Pro Photo X2"
"InvokeProgID" = "PaintShopProPhotoX2.Image"
"InvokeVerb" = "Überprüfung"
HKLM\SOFTWARE\Classes\PaintShopProPhotoX2.Image\shell\Überprüfung\command\(Default) = ""C:\Multimedia\Paint Shop Pro Photo X2\Corel Paint Shop Pro Photo.exe" /Review "%1"" ["Corel, Inc."]

HPS1119-38\
"Provider" = "HPS1119-38"
"InvokeProgID" = "HPS1119-38.BestShow"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\HPS1119-38.BestShow\shell\import\command\(Default) = ""C:\Internet\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "-i %L"" [null data]

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
  -> {HKLM...CLSID} = "WPDShextAutoplay"
                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

PDVD8PlayCDAudioOnArrival\
"Provider" = "PowerDVD 8"
"InvokeProgID" = "AudioCD"
"InvokeVerb" = "PlayWithPowerDVD8"
HKLM\SOFTWARE\Classes\AudioCD\shell\PlayWithPowerDVD8\Command\(Default) = ""C:\Multimedia\PowerDVD8\PowerDVD8\PowerDVD8.exe" "%L"" ["CyberLink Corp."]

PDVD8PlayDVDMovieOnArrival\
"Provider" = "PowerDVD 8"
"InvokeProgID" = "DVD"
"InvokeVerb" = "PlayWithPowerDVD8"
HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD8\Command\(Default) = "C:\Multimedia\PowerDVD8\PowerDVD8\PowerDVD8.exe  "%L"" ["CyberLink Corp."]

PDVD8PlayVCDMovieOnArrival\
"Provider" = "PowerDVD 8"
"InvokeProgID" = "VCD"
"InvokeVerb" = "PlayWithPowerDVD8"
HKLM\SOFTWARE\Classes\VCD\shell\PlayWithPowerDVD8\Command\(Default) = "C:\Multimedia\PowerDVD8\PowerDVD8\PowerDVD8.exe  "%L"" ["CyberLink Corp."]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Multimedia\VLC Player\vlc.exe --started-from-file cdda://%1" ["the VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Multimedia\VLC Player\vlc.exe --started-from-file dvd://%1" ["the VideoLAN Team"]


Startup items in "***" & "All Users" startup folders:
-------------------------------------------------------

C:\Benutzer\All Users\Startmenü\Programme\Autostart
"Logitech SetPoint" -> shortcut to: "C:\Treiber\Logitech\SetPoint\SetPoint.exe" ["Logitech, Inc."]
"USBKVM Switcher" -> shortcut to: "C:\Treiber\USBKVM Switcher\USBKVM.exe" ["UNICLASS"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 24
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
  -> {HKLM...CLSID} = "Adobe PDF"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]
"{AF83E43C-DD2B-4787-826B-31B17DEE52ED}" = "QTBreadcrumbs"
  -> {HKLM...CLSID} = "QT Breadcrumbs Address Bar"
                   \InProcServer32\(Default) = "mscoree.dll" [MS]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF"
                   \InProcServer32\(Default) = "C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Office\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_07"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_07"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll" ["Sun Microsystems, Inc."]

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Create Mobile Favorite"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
  -> {HKLM...CLSID} = "Create Mobile Favorite"
                   \InProcServer32\(Default) = "C:\Office\MICROS~1\INetRepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
  -> {HKLM...CLSID} = "Create Mobile Favorite"
                   \InProcServer32\(Default) = "C:\Office\MICROS~1\INetRepl.dll" [MS]

{4C826F10-D34B-4BA8-B609-1FB8C6482A05}\
"ButtonText" = "Europa Casino"
"MenuText" = "Europa Casino"
"Exec" = "C:\Spiele\Europa Casino\casino.exe" [null data]

{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVG8 WatchDog, avg8wd, "C:\SICHER~1\AVG8\avgwdsvc.exe" ["AVG Technologies CZ, s.r.o."]
Cisco Systems, Inc. VPN Service, CVPND, ""C:\Sicherheit\Cisco VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."]
O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]
avm:\Driver = "avmprmon.dll" ["AVM Berlin GmbH"]
hpzsnt09\Driver = "hpzsnt09.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2008-12-05 20:46:09)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 48 seconds, including 26 seconds for message boxes)

Alt 05.12.2008, 21:23   #5
john.doe
 
spoolsv.exe im Tempverzeichnis - Standard

spoolsv.exe im Tempverzeichnis


Zitat:
Leider habe ich vor deinem Post bereits die fraglichen Dateien gelöscht und konnte sie somit nicht mehr hochladen.
Macht nichts. Da sind schon wieder Neue. Also nochmal mit diesen Dateien:
Code:
ATTFilter
C:\WINDOWS\sessmgr.exe
C:\Spiele\Europa Casino\casino.exe
Man könnte fast den Eindruck bekommen, als wenn jemand bei dir auf dem Rechner ist.
Zitat:
Jedenfalls bin ich gerade sehr zuversichtlich, den Trojaner bereits losgeworden zu sein.
Du irrst dich.
Zitat:
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> No action taken.
Du musst löschen, so steht es auch in der Anleitung.
Zitat:
War mir nicht ganz sicher, wie ich genau verfahren soll. Runterladen, umbenennen, ausführen?
Runterladen, ausführen.

Wir müssen schwerere Geschütze auffahren:
1.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
2.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

3.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas


Alt 05.12.2008, 22:30   #6
lippo
 
spoolsv.exe im Tempverzeichnis - Standard

spoolsv.exe im Tempverzeichnis


Hmmm ... bevor ich mich an ComboFix mache ... ich habe noch einmal einen Anti-Malware-Durchlauf gemacht ... und dieser hat keinen Befund mehr gebracht:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1463
Windows 5.1.2600 Service Pack 3

05.12.2008 22:22:38
mbam-log-2008-12-05 (22-22-38).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 212841
Laufzeit: 1 hour(s), 18 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Soll ich trotzdem noch mit ComboFix loslegen?

Antwort

Themen zu spoolsv.exe im Tempverzeichnis
adobe, avg, avg free, bho, cisco vpn, defender, excel, explorer, helper, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, konvertieren, logfile, malwarebytes anti-malware, notebook, ordner, pdf, pdf-datei, problem, programme, prozesse, rootkit, rundll, scan, sicherheit, software, super, windows, windows xp, windows xp sp3, xp sp3


« Trojaner an Board. | Trojaner gefunden, und nun? »


Ähnliche Themen: spoolsv.exe im Tempverzeichnis


  1. Trojaner: _ex-68.exe im Tempverzeichnis
    Plagegeister aller Art und deren Bekämpfung - 30.01.2012 (12)
  2. R.A.T infiziert? 16x svchost, ein Leerlaufprozess, 1x spoolsv und ein paar weitere Sachen offen
    Plagegeister aller Art und deren Bekämpfung - 30.07.2011 (4)
  3. pc lahm: igfxtray.exe" oder doch spoolsv.exe entfernen?
    Log-Analyse und Auswertung - 06.12.2009 (3)
  4. Virus oder nicht? spoolsv.exe
    Log-Analyse und Auswertung - 07.11.2009 (3)
  5. Unsicher wegen spoolsv.exe
    Log-Analyse und Auswertung - 03.11.2009 (2)
  6. spoolsv.exe - habe keinen Drucker!
    Plagegeister aller Art und deren Bekämpfung - 15.03.2009 (11)
  7. spoolsv.exe - Problem
    Log-Analyse und Auswertung - 29.10.2008 (4)
  8. Warum will spoolsv.exe ins Internet?
    Plagegeister aller Art und deren Bekämpfung - 22.07.2008 (4)
  9. PC langsam (spoolsv) HiJackThisLog-File
    Log-Analyse und Auswertung - 28.06.2008 (0)
  10. TR/Autorun.KT - Problem mit spoolsv.exe
    Log-Analyse und Auswertung - 30.04.2008 (1)
  11. Ich kann nicht mehr Drucken / C:\WINDOWS\system32\spoolsv.exe
    Log-Analyse und Auswertung - 11.01.2008 (0)
  12. spoolsv.exe lastet CPU zu 100% aus!
    Log-Analyse und Auswertung - 05.09.2006 (4)
  13. Trojaner mit spoolsv.exe? Kann jemand helfen?
    Log-Analyse und Auswertung - 01.03.2006 (8)
  14. spoolsv.exe cpuauslastung 99%
    Plagegeister aller Art und deren Bekämpfung - 03.12.2005 (2)
  15. spoolsv.exe will ins Internet!
    Plagegeister aller Art und deren Bekämpfung - 26.07.2005 (7)
  16. spoolsv.exe verhindert Internetzugriff
    Plagegeister aller Art und deren Bekämpfung - 06.10.2004 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema spoolsv.exe im Tempverzeichnis - Moin, nachdem ich nun auf etlichen Wegen versucht habe meinem Trojanerbefall Herr zu werden, gebe ich nun auf und erhoffe mir Hilfe. Aufgefallen ist mir das vermeintliche Problem, als aus - spoolsv.exe im Tempverzeichnis...
Archiv
Du betrachtest: spoolsv.exe im Tempverzeichnis auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19