Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Probleme mit spoolsv32.exe (https://www.trojaner-board.de/15965-probleme-spoolsv32-exe.html)

Cappu 28.03.2005 14:06
So, hier die Logs:

Mon Mar 28 14:04:43 2005 => File C:\WINDOWS\atlass.dll infected by "Trojan-Downloader.Win32.Small.aai" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:04:50 2005 => File C:\WINDOWS\System32\ALGU.EXE infected by "Trojan-Dropper.Win32.Small.vb" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:04:50 2005 => File C:\WINDOWS\System32\SPOOLSV32.EXE infected by "Trojan-Dropper.Win32.Small.vb" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:05:04 2005 => File C:\WINDOWS\ATLASSUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:05:10 2005 => File C:\WINDOWS\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:16:03 2005 => File C:\Programme\Norton AntiVirus\Quarantine\5F3209ED.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:16:03 2005 => File C:\Programme\Norton AntiVirus\Quarantine\5F7027A9.htm infected by "Exploit.HTML.IframeBof" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:16:03 2005 => File C:\Programme\Norton AntiVirus\Quarantine\6408329B.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:07 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP41\A0005468.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.


Mon Mar 28 14:24:08 2005 => Scanning File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP41\A0005484.exe


Mon Mar 28 14:24:08 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP41\A0005484.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:10 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005486.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:10 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005492.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:10 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005498.EXE infected by "Trojan-Dropper.Win32.Small.vb" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:11 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005504.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:11 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005514.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:12 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005521.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:12 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005527.EXE infected by "Trojan-Dropper.Win32.Small.vb" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:13 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005534.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:13 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005541.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:13 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005544.EXE infected by "Trojan-Dropper.Win32.Small.vb" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:14 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005551.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:24:14 2005 => File C:\System Volume Information\_restore{8E9C1918-69E5-4931-AB32-7596F0121DCF}\RP42\A0005558.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:25:44 2005 => File C:\WINDOWS\ATLASSUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.

Mon Mar 28 14:36:20 2005 => File C:\WINDOWS\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken.



Mon Mar 28 14:44:24 2005 => Total Files Scanned: 25142
Mon Mar 28 14:44:24 2005 => Total Virus(es) Found: 26
Mon Mar 28 14:44:24 2005 => Total Disinfected Files: 0
Mon Mar 28 14:44:24 2005 => Total Files Renamed: 0
Mon Mar 28 14:44:24 2005 => Total Deleted Files: 0
Mon Mar 28 14:44:24 2005 => Total Errors: 11
Mon Mar 28 14:44:24 2005 => Time Elapsed: 00:40:51
Mon Mar 28 14:44:24 2005 => Virus Database Date: 2005/03/24
Mon Mar 28 14:44:24 2005 => Virus Database Count: 123152







So, und nun hab ich keine Ahnung mehr. Bitte helft mir *g*

Cidre 28.03.2005 14:18
OK, mein Verdacht hat sich bestätigt.

Deaktiviere die Systemwiederherstellung und wechsle in den abgesicherten Modus. http://www.bsi.bund.de/av/texte/wiederher_xp.htm und

Fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
Zitat:
Alle R0 und R1
O2 - BHO: ATDP Class - {E3D3AFEE-2172-4ef5-8509-1638AFFF0374} - C:\WINDOWS\atlass.dll
O4 - HKCU\..\Run: [ALGU] C:\WINDOWS\System32\ALGU.EXE
O4 - HKCU\..\Run: [SPOOLSV32] C:\WINDOWS\System32\SPOOLSV32.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Lösche diese Dateien, leere anschliessend den Papierkorb und den Norton Quarantäne Ordner:
Zitat:
C:\WINDOWS\System32\ALGU.EXE
C:\WINDOWS\System32\SPOOLSV32.EXE
C:\WINDOWS\web\related.htm
C:\WINDOWS\atlass.dll
C:\WINDOWS\ATLASSUI.exe
C:\WINDOWS\stlbd.dll
- neue Startseite vergeben
- Neustart
- dein System updaten (SP2 installieren) http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. die Mozilla Suite oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HiJackThis posten

Bei Bedarf die Systemwiederherstellung wieder aktivieren.

Cappu 28.03.2005 17:05
Bis zum SP2 würde ich alles schaffen aber ich hab ja eine "illegale" kopie von XP und da kann ich es nicht instalieren :(

Weiss jemand wo ich SP2 für die Illegalen XP´s bekomme? Windows hat ja angekündigt das man auch die "anderen" XP-Versionen mit SP2 "versorgen" kann aber nun geht das nicht :(

HELP MEEEEEEE

Und DANKE für eure Hilfe !

Haui45 28.03.2005 17:08
Wie wär's mit kaufen ;)
Oder steig auf Linux um, ist umsonst...

Rene-gad 28.03.2005 17:13
@Cappu
Zitat:
Weiss jemand wo ich SP2 für die Illegalen XP´s bekomme?
Ebd. wo du illegale Windows-Kopie bekommen hast. :teufel3:

Cappu 31.03.2005 22:40
alles gemacht ausser sp2

hier die neuen logs:


Logfile of HijackThis v1.99.1
Scan saved at 23:33:01, on 31.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Jenny\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stlbd.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FC5A94E-9FDF-4084-8CD9-9363811F7794}: NameServer = 195.50.140.250 145.253.2.174
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe




bin ich nun viren/trojaner/malware frei ? *g*

Haui45 31.03.2005 23:00
Zitat:
alles gemacht ausser sp2
Also hast du das wichtigste nicht gemacht :headbang:

Log ist sauber, frag sich nur wie lange...

btw:
O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stlbd.dll (file missing)
kannst du fixen.

Cappu 01.04.2005 11:20
Zitat:
Zitat von Haui45
Also hast du das wichtigste nicht gemacht :headbang:

Ja aber wie schon beschrieben: Es geht nicht :(


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:15 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131