Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HijackThis Log / csmss.exe / spoolsvr32.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.11.2004, 16:39   #1
DonkeyS
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



Heya,

ich habe mir ende letzer Woche einige lästige Pests eingefangen. Mit diversen Programmen (AntiVir, AntiTrojan, PestPatrol, Killbox+escan, CWShredder, SpyBots) war es mir möglich, fast alle Verunreinigungen zu entfernen. Bei einer Sache allerdings komm ich echt ins Schwitzen:
Die csmss.exe läßt sich zwar löschen, kommt aber auch gern mal wieder.
In der Registry verweist die Spoolsvr32.exe auf die csmss.exe.
Die habe ich auch schon x mal im abgesicherten Modus (ohne Systemwiederherstellung) entfernt.

Hier mal das

Logfile of HijackThis v1.98.0
Scan saved at 16:17:38, on 08.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
D:\ Sich\Security\HijackThis\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [RouterControl] C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exeO4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...92be6d71d48cd1
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099916451078


Ich habe den Prozess csmss.exe beendet, bevor ich das Log erstellt habe.
der Verweis steht noch immer drin.

Hört sich alles nach einer Neuinstallation an, ich will aber nicht so schnell aufgeben. Deshalb bin ich für Vorschläge aller Art offen, thx
__________________
_ _ _

Bis die Tage...



____________________________________
P4 2,8 | WinXP SP2 | Geforce Fx 5900 XT |

Alt 08.11.2004, 17:33   #2
cacatoa
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



Guckst Du mal
hier.
Außerdem im abgesicherten Modus, bei deaktivierter Systemwiederherstellung folgendes fixen:
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...992be6d71d48cd1
Ansonsten ist das Logfile sauber.
Empfehlen würde ich dir mal einen eScan ebenfalls im abges. Modus und deakt. Syst.Wdhstlg.
Bitte poste Deine Ergebnisse hier rein.
cacatoa
__________________

__________________

Alt 08.11.2004, 18:49   #3
DonkeyS
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



Zitat:
Zitat von cacatoa
Guckst Du mal
hier.
Außerdem im abgesicherten Modus, bei deaktivierter Systemwiederherstellung folgendes fixen:
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...992be6d71d48cd1
Beim Versuch, die 016 zu fixen kam eine Fehlermeldung (ERROR #75)
Fehler beim Zugriff auf Pfad/Datei

Zitat:
Zitat von cacatoa
Ansonsten ist das Logfile sauber.
Empfehlen würde ich dir mal einen eScan ebenfalls im abges. Modus und deakt. Syst.Wdhstlg.
Bitte poste Deine Ergebnisse hier rein.
cacatoa
Hier denn Log:

Logfile of HijackThis v1.98.0
Scan saved at 19:16:09, on 08.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
D:\ Sich\Security\HijackThis\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [RouterControl] C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...92be6d71d48cd1
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099916451078



Das eScan-Log ist echt lang. Ich bin nicht sicher, ob ich das hier posten soll. Es war ohne Befund.
__________________
__________________

Geändert von DonkeyS (08.11.2004 um 19:20 Uhr)

Alt 08.11.2004, 20:35   #4
cacatoa
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



Date mal HJT auf die Version 1.98.2 auf und schick ein neues Log file.
Wenn eScan ohne BEfund war, na ja, dann gut, wobei ich nicht glaube, daß er eben
den übersehen haben soll. (schau mal in dem Link unter wiederherstellen)
Außerdem ist die O 16 offenbar nicht vollständig, deshalb wird der Pfad nicht gefunden. Wir müßten die komplette Adresse ohne .... haben.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 08.11.2004, 20:52   #5
DonkeyS
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



Zitat:
Zitat von cacatoa
Date mal HJT auf die Version 1.98.2 auf und schick ein neues Log file.
Wenn eScan ohne BEfund war, na ja, dann gut, wobei ich nicht glaube, daß er eben
den übersehen haben soll. (schau mal in dem Link unter wiederherstellen)
Beim ersten mal scannen mit eScan waren einige Funde vorhanden. die habe ich nach durchsicht einiger anderer Beiträge entfernen können. Allerdings fällt mir auf, dass beim letzten eScan-Durchlauf 32 total errors waren. einige Trojaner wurden auch doppelt angezeigt.

Zitat:
Zitat von cacatoa
Außerdem ist die O 16 offenbar nicht vollständig, deshalb wird der Pfad nicht gefunden. Wir müßten die komplette Adresse ohne .... haben.
cacatoa
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -http://public.windupdates.com/get_file.php?bt=ie&p=742ae6aabe7d3a41bcf4a5afcbb90dcf3 4dad1f7e20e580a8628a9310ebdbc79ff97ebe1e10 940b1a7ee84d6b88713ffc07adc36a6c198daa84af66 cad27b7bddb:0bcd3b08a0018c359992be6d71d48cd1


Bei Bedarf poste ich gern noch die Logs

__________________
_ _ _

Bis die Tage...



____________________________________
P4 2,8 | WinXP SP2 | Geforce Fx 5900 XT |

Alt 08.11.2004, 20:55   #6
cacatoa
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



Hast du auf den Link von Sophos mal geschaut?
__________________
--> HijackThis Log / csmss.exe / spoolsvr32.exe

Alt 08.11.2004, 21:08   #7
DonkeyS
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



Zitat:
Zitat von cacatoa
Hast du auf den Link von Sophos mal geschaut?

Ja, das hab ich ein paar mal getan am Wochenende. Das war nach den ersten scans mit PestPatrol. Die meisten Reg-Einträge waren bei mir nicht oder nicht mehr vorhanden. Runtergeladen habe ich nichts von der Seite.


PS Bei der 016 habe ich ein paar Leerzeichen eingegeben, HJT habe ich in frisch. Ich war seit dem aber nicht wieder im abg. Modus.

Logfile of HijackThis v1.98.2
Scan saved at 21:44:29, on 08.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\GreenBrowserGerman\GreenBrowser.exe
C:\Programme\totalcmd\TOTALCMD.EXE
D:\ Sich\Security\HijackThis\HijackThis.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DONKEY~1\LOKALE~1\Temp\Rar$EX00.000\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [RouterControl] C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...bcf4a5afcbb90d cf34dad1f7e20e580a8628a9310ebdbc79ff97ebe 1e10940b1a7ee84d6b88713ffc07adc36a6c198daa 84af66cad27b7bddb:0bcd3b08a0018c359992be6d71d48cd1
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099916451078





Hier das Ende des eScan-Logs:

Mon Nov 08 19:56:44 2004 => ***** Checking for specific ITW Viruses *****
Mon Nov 08 19:56:44 2004 => Checking for Welchia Virus...
Mon Nov 08 19:56:44 2004 => Checking for LovGate Virus...
Mon Nov 08 19:56:44 2004 => Checking for CodeRed Virus...
Mon Nov 08 19:56:44 2004 => Checking for OpaServ Virus...
Mon Nov 08 19:56:44 2004 => Checking for Sobig.e Virus...
Mon Nov 08 19:56:44 2004 => Checking for Winupie Virus...
Mon Nov 08 19:56:44 2004 => Checking for Swen Virus...
Mon Nov 08 19:56:44 2004 => Checking for JS.Fortnight Virus...
Mon Nov 08 19:56:44 2004 => Checking for Novarg Virus...
Mon Nov 08 19:56:44 2004 => Checking for Pagabot Virus...
Mon Nov 08 19:56:44 2004 => Checking for Parite.b Virus...
Mon Nov 08 19:56:44 2004 => Checking for Parite.a Virus...

Mon Nov 08 19:56:44 2004 => ***** Scanning complete. *****

Mon Nov 08 19:56:44 2004 => Total Files Scanned: 40499
Mon Nov 08 19:56:44 2004 => Total Virus(es) Found: 0
Mon Nov 08 19:56:44 2004 => Total Disinfected Files: 0
Mon Nov 08 19:56:44 2004 => Total Files Renamed: 0
Mon Nov 08 19:56:44 2004 => Total Deleted Files: 0
Mon Nov 08 19:56:44 2004 => Total Errors: 32
Mon Nov 08 19:56:44 2004 => Time Elapsed: 00:38:50
Mon Nov 08 19:56:44 2004 => Virus Database Date: 2004/11/03
Mon Nov 08 19:56:44 2004 => Virus Database Count: 108135

Mon Nov 08 19:56:44 2004 => Scan Completed.
__________________
_ _ _

Bis die Tage...



____________________________________
P4 2,8 | WinXP SP2 | Geforce Fx 5900 XT |

Alt 08.11.2004, 21:13   #8
cacatoa
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



Der O16 sieht jetzt so aus:

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...1bcf4a5afcbb90d cf34dad1f7e20e580a8628a9310ebdbc79ff97ebe 1e10940b1a7ee84d6b88713ffc07adc36a6c198daa 84af66cad27b7bddb:0bcd3b08a0018c359992be6d71d48cd1

Versuche nochmal, ihn im abgesicherten Modus mit HJT zu fixen, er sit der einzige "Böse" drauf.
__________________
Der Mensch sollte eine Hundeseele haben

Alt 08.11.2004, 21:22   #9
DonkeyS
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



Zitat:
Zitat von cacatoa
Der O16 sieht jetzt so aus:

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...1bcf4a5afcbb90d cf34dad1f7e20e580a8628a9310ebdbc79ff97ebe 1e10940b1a7ee84d6b88713ffc07adc36a6c198daa 84af66cad27b7bddb:0bcd3b08a0018c359992be6d71d48cd1

Versuche nochmal, ihn im abgesicherten Modus mit HJT zu fixen, er sit der einzige "Böse" drauf.


Im Post von 21.52 habe ich die 016 in voller Länge eingebracht, hier ist sie auch wieder 'gepunktet'.

Ich werde dann jetzt versuchen, im abgMod zu fixen.

Grad will ich ausschalten, kommt ne Meldung von der Win-Firewall:

Der Windows-Firewall hat aus Sicherheitsgründen einige Funktionen dieses Programms geblockt.
Soll dieses Programm weiterhin geblockt werden?
Name: csmss
Herausgeber: unbekannt

Ich hab da noch nix gedrückt.
Das geht schon das ganze Wochenende so. Man denkt, jetzt gehts wieder und schon ist er wieder da...
Was tun? (Außer 'Weiterhin blocken' anklicken)
__________________
_ _ _

Bis die Tage...



____________________________________
P4 2,8 | WinXP SP2 | Geforce Fx 5900 XT |

Geändert von DonkeyS (08.11.2004 um 21:30 Uhr)

Alt 08.11.2004, 21:33   #10
chaosman
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



@DonkeyS
das hier ist er wonach wir suchen

http://www.trendmicro.com/vinfo/viru...OJ_STRTPAGE.IX
und hier kannst du kannst du schauen, diese .DLL auf dein system suchen und in den abgesicherten modus lösche
http://pestpatrol.com/pestinfo/t/tro...artpage_ix.asp
http://research.pestpatrol.com/Analy...-30_101359.asp

hoffentlich ist das die lösung, muss eine sehr unangenehmer sein

chaosman
__________________
Bonus vir semper tiro

Alt 08.11.2004, 21:39   #11
cacatoa
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



@ chaosman:
Thx,
ich war auf dem Trip hier:
http://www.sophos.de/virusinfo/analy...ojagentco.html
weil der eine "csmss.exe" erstellt
__________________
Der Mensch sollte eine Hundeseele haben

Alt 08.11.2004, 21:58   #12
DonkeyS
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



Zitat:
Zitat von chaosman
@DonkeyS
das hier ist er wonach wir suchen

http://www.trendmicro.com/vinfo/viru...OJ_STRTPAGE.IX
und hier kannst du kannst du schauen, diese .DLL auf dein system suchen und in den abgesicherten modus lösche
http://pestpatrol.com/pestinfo/t/tro...artpage_ix.asp
http://research.pestpatrol.com/Analy...-30_101359.asp

hoffentlich ist das die lösung, muss eine sehr unangenehmer sein

chaosman

Ja, sie ist in der Tat sehr unangenehm, denn deine Links haben 0 Treffer ergeben. Danke sag ich trotzdem artig :-)

@cacatoa: ich hab ja noch die Möglichkeit, eine neue eScan-/HJT-Log mit dieser csmss zu erstellen, die ist ja wieder da.
Oder ich laß die mal Online prüfen. Wo war das doch gleich? Schlimm. Mir schwirren so viele Testprogramme im Kopf rum, daß ich langsam den überblick verliere...
Im Board mit nem PII 300 bei den langen Seiten pfff


Hab grad Pestpatrol laufen lassen, und nu dachte ich, ich hab den Wurm schon 5 mal entfernt, jetzt weiß ich er ist es: Worm.Win32.Dedler.rWorm.Win32.Dedler.r
Aber wie krieg ich den weg? Bei PestPatrol heißt es, das Programm macht es. Richtig. Immer wieder...
__________________
_ _ _

Bis die Tage...



____________________________________
P4 2,8 | WinXP SP2 | Geforce Fx 5900 XT |

Geändert von DonkeyS (08.11.2004 um 22:08 Uhr) Grund: Worm.Win32.Dedler.r

Alt 08.11.2004, 22:20   #13
cacatoa
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



Schau mal hier unter "Wiederherstellen"
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 08.11.2004, 22:46   #14
DonkeyS
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



Zitat:
Zitat von cacatoa
Schau mal hier unter "Wiederherstellen"
cacatoa


Gibt es denn da keine manuelle Lösung?
__________________
_ _ _

Bis die Tage...



____________________________________
P4 2,8 | WinXP SP2 | Geforce Fx 5900 XT |

Alt 09.11.2004, 00:01   #15
DonkeyS
 
HijackThis Log / csmss.exe / spoolsvr32.exe - Standard

HijackThis Log / csmss.exe / spoolsvr32.exe



Heya,

Ein erneuter Scan mit Anti-Trojan hat ergeben:
Port: 4590 Möglicher Trojaner.IcqTrojan
Port ist nun geschlossen.

Eine Registry-Suche nach 'csmss' ergab folgende Einträge:

Pfad : HKEY_CURRENT_USER
Schlüssel : Software\Microsoft\Search Assistant\ACMru\5603
Eintrag : 001
Wert : csmss
Letzte Änderung : 08.11.2004, 21:44

Pfad : HKEY_CURRENT_USER
Schlüssel : Software\Microsoft\Windows\ShellNoRoam\MUICache
Eintrag : C:\WINDOWS\system32\csmss.exe
Wert : csmss
Letzte Änderung : 08.11.2004, 23:41

Pfad : HKEY_CURRENT_USER
Schlüssel : Software\mzs\csmss
Eintrag : {KEY}
Wert : {KEY}
Letzte Änderung : 08.11.2004, 21:23

Pfad : HKEY_CURRENT_USER
Schlüssel : Software\mzs\csmss\mzu
Eintrag : {KEY}
Wert : {KEY}
Letzte Änderung : 08.11.2004, 21:23

Pfad : HKEY_LOCAL_MACHINE
Schlüssel : SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Eintrag : spoolsvr32
Wert : c:\windows\system32\csmss.exe
Letzte Änderung : 08.11.2004, 21:24

Pfad : HKEY_USERS
Schlüssel : .DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache
Eintrag : C:\WINDOWS\system32\csmss.exe
Wert : csmss
Letzte Änderung : 08.11.2004, 23:02

Pfad : HKEY_USERS
Schlüssel : S-1-5-21-1482476501-1085031214-1801674531-1003\Software\Microsoft\Search Assistant\ACMru\5603
Eintrag : 001
Wert : csmss
Letzte Änderung : 08.11.2004, 21:44

Pfad : HKEY_USERS
Schlüssel : S-1-5-21-1482476501-1085031214-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache
Eintrag : C:\WINDOWS\system32\csmss.exe
Wert : csmss
Letzte Änderung : 08.11.2004, 23:41

Pfad : HKEY_USERS
Schlüssel : S-1-5-21-1482476501-1085031214-1801674531-1003\Software\mzs\csmss
Eintrag : {KEY}
Wert : {KEY}
Letzte Änderung : 08.11.2004, 21:23

Pfad : HKEY_USERS
Schlüssel : S-1-5-21-1482476501-1085031214-1801674531-1003\Software\mzs\csmss\mzu
Eintrag : {KEY}
Wert : {KEY}
Letzte Änderung : 08.11.2004, 21:23

Pfad : HKEY_USERS
Schlüssel : S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache
Eintrag : C:\WINDOWS\system32\csmss.exe
Wert : csmss
Letzte Änderung : 08.11.2004, 23:02

Diese Einträge lassen vielleicht auf mehr schließen. Ich bin noch fleißig am Googlen. Und wieder diese Spoolsvr32.
__________________
_ _ _

Bis die Tage...



____________________________________
P4 2,8 | WinXP SP2 | Geforce Fx 5900 XT |

Antwort

Themen zu HijackThis Log / csmss.exe / spoolsvr32.exe
abgesicherten modus, adobe, antivir, avgnt.exe, bho, control center, dateien, diverse, ellung, escan, explorer, firewall, hijack, hijackthis, hijackthis log, internet, internet explorer, log, löschen, microsoft, monitor, nvcpl.dll, officejet, programme, prozess, registry, rundll, security, software, symantec, userinit.exe, windows, windows messenger, windows xp



Ähnliche Themen: HijackThis Log / csmss.exe / spoolsvr32.exe


  1. HiJackthis log
    Log-Analyse und Auswertung - 27.02.2010 (3)
  2. # C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\hijackthis\HijackThis.e
    Mülltonne - 01.12.2009 (2)
  3. HiJackThis Log
    Log-Analyse und Auswertung - 20.07.2009 (0)
  4. Hijackthis Log ok?
    Log-Analyse und Auswertung - 11.07.2009 (1)
  5. hijackthis file-yieldmanager-hijackthis.de geblockt
    Log-Analyse und Auswertung - 08.07.2009 (1)
  6. HiJackThis
    Mülltonne - 26.01.2009 (0)
  7. HiJackThis
    Mülltonne - 26.08.2008 (0)
  8. HiJackThis log->
    Log-Analyse und Auswertung - 01.06.2008 (6)
  9. Hijackthis???
    Log-Analyse und Auswertung - 15.03.2007 (12)
  10. Bitte wer hilft beim auswertenLogfile of HijackThis v1.99.1Logfile of HijackThis v1.9
    Log-Analyse und Auswertung - 23.02.2007 (1)
  11. hijackthis - log
    Log-Analyse und Auswertung - 12.09.2005 (2)
  12. hijackThis log
    Log-Analyse und Auswertung - 22.06.2005 (4)
  13. HiJackThis log
    Log-Analyse und Auswertung - 24.04.2005 (2)
  14. HijackThis Log
    Log-Analyse und Auswertung - 17.10.2004 (4)
  15. HijackThis Log
    Log-Analyse und Auswertung - 20.07.2004 (1)
  16. HiJackThis log
    Log-Analyse und Auswertung - 18.06.2004 (2)

Zum Thema HijackThis Log / csmss.exe / spoolsvr32.exe - Heya, ich habe mir ende letzer Woche einige lästige Pests eingefangen. Mit diversen Programmen (AntiVir, AntiTrojan, PestPatrol, Killbox+escan, CWShredder, SpyBots) war es mir möglich, fast alle Verunreinigungen zu entfernen. Bei - HijackThis Log / csmss.exe / spoolsvr32.exe...
Archiv
Du betrachtest: HijackThis Log / csmss.exe / spoolsvr32.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.