Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan.Win32.Spooner.f - bin ich ihn los? (https://www.trojaner-board.de/7497-trojan-win32-spooner-f-ihn-los.html)

J.Jones 11.09.2004 16:44
Trojan.Win32.Spooner.f - bin ich ihn los?
 
Letztes Wochenende hatte ich den Trojan.Win32.Spooner.f auf meiner Festplatte.
Ich bereinigte die Datei, ließ den Virenscan nochmal drüber laufen – alles in Ordnung. Hijackthis zeigte bis auf ein paar (3) gelbe Ausnahmen auch alles grün.

Dieses Wochenende meldete der automatische Virenscan den selben Trojaner wieder.
Wieder desinfizieren der Dateien.
Und (man hat ja neu dazugelernt…) eScan im abgesicherten Modus:

Sat Sep 11 16:41:01 2004 => ***** Scanning complete. *****
Sat Sep 11 16:41:01 2004 => Total Number of Files Scanned: 49501
Sat Sep 11 16:41:01 2004 => Total Number of Virus(es) Found: 4
Sat Sep 11 16:41:01 2004 => Total Number of Disinfected Files: 0
Sat Sep 11 16:41:01 2004 => Total Number of Files Renamed: 0
Sat Sep 11 16:41:01 2004 => Total Number of Deleted Files: 0
Sat Sep 11 16:41:01 2004 => Total Number of Errors: 1
Sat Sep 11 16:41:01 2004 => Time Elapsed: 00:45:13
Sat Sep 11 16:41:01 2004 => Virus Database Date: 2004/09/11
Sat Sep 11 16:41:01 2004 => Virus Database Count: 103785
Sat Sep 11 16:41:01 2004 => Scan Completed.

Virus Log Information:
File C:\Programme\mdsc5m\Print.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\mdsc5m\uninst.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\mdsc5m\Www.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Temp\~GL_3841.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Wie “not-a-virus”? Also doch keiner? Wieso führt er’s dann auf? Und wo hätte ich denn eine „Action taken“ sollen? Und der eine Error? Fragen über Fragen…


Hijackthis im abgesicherten Modus:

Logfile of HijackThis v1.98.2
Scan saved at 16:51:12, on 11.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\AntiVirus\AVKPOP.EXE"
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Cloudmark SpamNet for OE.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05b74836...dxIE601_de.cab


hijackthis.de kennzeichnet nur den Spam-Filter als unbekannt, ansonsten alles grün...
Heißt das jetzt, mein kleines Notebook und ich – wir sind (mal wieder) sauber?
Abgesehen von eScan hab ich ja alles so gemacht wie letztes Wochenende. (Und bei eScan bin ich mir ja nich sicher, ob da überhaupt irgendwas gemacht wurde…) Und trotzdem war das Trojan.Ding dieses WE wieder da. Wer oder was sagt mir, dass ich ihn spätestens nächstes WE (wie auch immer) nicht schon wieder (oder noch immer?) zu Besuch habe?

Ich bin ja von Natur aus eher skeptisch…

Aber da ich mich da ja nicht mal annähernd so gut auskenne wie manche Leute hier dachte ich, ich frag einfach mal. Ob sich das ganze hier nicht mal irgendwer durchlesen – und seinen Senf dazu abgeben – könnte…

Bitte/Danke.

Jones

MountainKing 11.09.2004 16:49
Mach das Log mal im normalen Modus, damit man alle prozesse sieht und entpacke HJT in einen eigenen Ordner.

J.Jones 11.09.2004 18:05
Dachte mir schon, dass da im abgesicherten etwas wenig angezeigt wird...

Logfile of HijackThis v1.98.2
Scan saved at 18:58:00, on 11.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirus\AVKService.exe
C:\Programme\AntiVirus\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AntiVirus\AVKPOP.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Cloudmark\SpamNet\OE\snoe.exe
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\AntiVirus\AVKPOP.EXE"
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Cloudmark SpamNet for OE.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05b74836...dxIE601_de.cab

Shadowdance 12.09.2004 01:59
Hallo J.Jones,

Dein Logfile sieht - meiner Ansicht - gut aus.

- besuche bitte www.windowsupdate.com und lade Dir das aktuelle Service Pack runter, um die Sicherheit Deines Betriebssystems zu erhöhen.

- Du kannst folgende Einträge noch mit Hijack This im abgesicherten Modus fixen:

O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - Startup: Cloudmark SpamNet for OE.lnk = ?

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

- downloade hier Spybot-Search &Destroy 1.3, scanne damit Deinen Rechner und laß eventuelle noch vorhandene Probleme beheben.

- ein Browserwechsel kann Problemen beim Surfen im Netz vorbeugen: meine Signatur unter TI Hijacker-Rubrik ---> Vorbeugung.

SD


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:49 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131