Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Probleme mit spoolsv32.exe (https://www.trojaner-board.de/15965-probleme-spoolsv32-exe.html)

Cappu 28.03.2005 14:06
So, hier die Logs:

Mon Mar 28 14:04:43 2005 => File C:\WINDOWS\atlass.dll infected by "Trojan-Downloader.Win32.Small.aai" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:04:50 2005 => File C:\WINDOWS\System32\ALGU.EXE infected by "Trojan-Dropper.Win32.Small.vb" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:04:50 2005 => File C:\WINDOWS\System32\SPOOLSV32.EXE infected by "Trojan-Dropper.Win32.Small.vb" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:05:04 2005 => File C:\WINDOWS\ATLASSUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:05:10 2005 => File C:\WINDOWS\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:16:03 2005 => File C:\Programme\Norton AntiVirus\Quarantine\5F3209ED.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:16:03 2005 => File C:\Programme\Norton AntiVirus\Quarantine\5F7027A9.htm infected by "Exploit.HTML.IframeBof" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:16:03 2005 => File C:\Programme\Norton AntiVirus\Quarantine\6408329B.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:07 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP41\A0005468.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.


Mon Mar 28 14:24:08 2005 => Scanning File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP41\A0005484.exe


Mon Mar 28 14:24:08 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP41\A0005484.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:10 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005486.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:10 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005492.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:10 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005498.EXE infected by "Trojan-Dropper.Win32.Small.vb" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:11 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005504.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:11 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005514.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:12 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005521.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:12 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005527.EXE infected by "Trojan-Dropper.Win32.Small.vb" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:13 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005534.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:13 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005541.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:13 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005544.EXE infected by "Trojan-Dropper.Win32.Small.vb" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:14 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005551.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:14 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005558.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:25:44 2005 => File C:\WINDOWS\ATLASSUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:36:20 2005 => File C:\WINDOWS\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken.



Mon Mar 28 14:44:24 2005 => Total Files Scanned: 25142
Mon Mar 28 14:44:24 2005 => Total Virus(es) Found: 26
Mon Mar 28 14:44:24 2005 => Total Disinfected Files: 0
Mon Mar 28 14:44:24 2005 => Total Files Renamed: 0
Mon Mar 28 14:44:24 2005 => Total Deleted Files: 0
Mon Mar 28 14:44:24 2005 => Total Errors: 11
Mon Mar 28 14:44:24 2005 => Time Elapsed: 00:40:51
Mon Mar 28 14:44:24 2005 => Virus Database Date: 2005/03/24
Mon Mar 28 14:44:24 2005 => Virus Database Count: 123152







So, und nun hab ich keine Ahnung mehr. Bitte helft mir *g*

Cidre 28.03.2005 14:18
OK, mein Verdacht hat sich bestätigt.

Deaktiviere die Systemwiederherstellung und wechsle in den abgesicherten Modus. http://www.bsi.bund.de/av/texte/wiederher_xp.htm und

Fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
Zitat:
Alle R0 und R1
O2 - BHO: ATDP Class - {E3D3AFEE-2172-4ef5-8509-1638AFFF0374} - C:\WINDOWS\atlass.dll
O4 - HKCU\..\Run: [ALGU] C:\WINDOWS\System32\ALGU.EXE
O4 - HKCU\..\Run: [SPOOLSV32] C:\WINDOWS\System32\SPOOLSV32.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Lösche diese Dateien, leere anschliessend den Papierkorb und den Norton Quarantäne Ordner:
Zitat:
C:\WINDOWS\System32\ALGU.EXE
C:\WINDOWS\System32\SPOOLSV32.EXE
C:\WINDOWS\web\related.htm
C:\WINDOWS\atlass.dll
C:\WINDOWS\ATLASSUI.exe
C:\WINDOWS\stlbd.dll
- neue Startseite vergeben
- Neustart
- dein System updaten (SP2 installieren) http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. die Mozilla Suite oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HiJackThis posten

Bei Bedarf die Systemwiederherstellung wieder aktivieren.

Cappu 28.03.2005 17:05
Bis zum SP2 würde ich alles schaffen aber ich hab ja eine "illegale" kopie von XP und da kann ich es nicht instalieren :(

Weiss jemand wo ich SP2 für die Illegalen XP´s bekomme? Windows hat ja angekündigt das man auch die "anderen" XP-Versionen mit SP2 "versorgen" kann aber nun geht das nicht :(

HELP MEEEEEEE

Und DANKE für eure Hilfe !

Haui45 28.03.2005 17:08
Wie wär's mit kaufen ;)
Oder steig auf Linux um, ist umsonst...

Rene-gad 28.03.2005 17:13
@Cappu
Zitat:
Weiss jemand wo ich SP2 für die Illegalen XP´s bekomme?
Ebd. wo du illegale Windows-Kopie bekommen hast. :teufel3:

Cappu 31.03.2005 22:40
alles gemacht ausser sp2

hier die neuen logs:


Logfile of HijackThis v1.99.1
Scan saved at 23:33:01, on 31.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Jenny\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stlbd.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FC5A94E-9FDF-4084-8CD9-9363811F7794}: NameServer = 195.50.140.250 145.253.2.174
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe




bin ich nun viren/trojaner/malware frei ? *g*

Haui45 31.03.2005 23:00
Zitat:
alles gemacht ausser sp2
Also hast du das wichtigste nicht gemacht :headbang:

Log ist sauber, frag sich nur wie lange...

btw:
O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stlbd.dll (file missing)
kannst du fixen.

Cappu 01.04.2005 11:20
Zitat:
Zitat von Haui45
Also hast du das wichtigste nicht gemacht :headbang:

Ja aber wie schon beschrieben: Es geht nicht :(


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:25 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22