|
Plagegeister aller Art und deren Bekämpfung: MZS.SpoolServer32Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.01.2005, 11:58 | #1 |
| MZS.SpoolServer32 Hallo Leute, mein Spybot S&D hat den genannten Trojaner gefunden, nur ist der nirgens ordentlich dokumentiert...kann mir hier jemand sagen, was es mit dem auf sich hat? thx, mfg, Pitti |
21.01.2005, 12:18 | #2 |
| MZS.SpoolServer32 @ Pittiplatsch
__________________erstelle bitte ein Hijack This Logfile, dann schauen wir uns das an. |
21.01.2005, 12:54 | #3 |
| MZS.SpoolServer32 Hallo und danke für deine Mühen...hier das Logfile
__________________Logfile of HijackThis v1.99.0 Scan saved at 12:50:48, on 21.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\HDD Health\hddhealth.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\FRITZ!\FriFon32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVirenKit 2004\AVKService.exe C:\Programme\AntiVirenKit 2004\AVKWCtl.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\FRITZ!\FriWeb32.exe C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\GetRight\GETRIGHT.EXE C:\Programme\GetRight\GETRIGHT.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\MSN Messenger\msnmsgr.exe G:\Downloads\hijackthis-1\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKCU\..\Run: [HDDHealth] C:\Programme\HDD Health\hddhealth.exe -wl O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: FRITZ!fon.lnk = C:\Programme\FRITZ!\FriFon32.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15007/CTSUEng.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Cl.../bridge-c3.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} (Seagate SeaTools German Online) - http://www.seagate.com/support/disc/...npseatools.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15008/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{93E3D392-9585-4251-884B-0E5EF839183F}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit 2004\AVKService.exe O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing) O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe mfg, Pitti |
21.01.2005, 13:29 | #4 |
| MZS.SpoolServer32 @ Pittiplatsch es handelt sich bei diesem Virus sehr wahrscheinlich um einen Trojaner, aber er scheint neu zu sein. In welcher Datei und unter welchem Pfad wurde dieser Trojaner gefunden? Hast Du ihn noch auf dem System? So ja, möchte ich Dich bitten, diese Datei - wenn Du sozial eingestellt bist - gepackt und passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread und dem Kennwort "MZS.SpoolServer32" zu senden. Diese Mail-Adresse gehört *Christian*, einem Boardmitglied, der unbekannte Dateien einer Prüfung unterziehen kann. Ich würde auch gerne erfahren, was es damit auf sich hat. Vielleicht führst Du vorsichtshalber den eScan auf Deinem Rechner aus. Erstelle also zunächst einen neuen Ordner "c:\bases". Downloade den eScan. Beachte dazu die Anleitung im Link. Entpacke den eScan in den neuen Ordner "bases" auf "C:". Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan löscht die gefundene Malware nicht, das wird - so möglich - manuell gemacht. Teile uns mit wieviel Viren auf Deinem Rechner gefunden wurden: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** Gib die Namen der Viren an: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) |
21.01.2005, 13:34 | #5 |
| MZS.SpoolServer32 Hi, --> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/C...e/bridge-c3.cab O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing) danach scanne Dein System mit eScan Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. (Shadowdance zitiert) --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** --> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) Gruß Gigamail |
21.01.2005, 13:51 | #6 |
| MZS.SpoolServer32 ...alles klar, werde mal die Ratschläge von gigamail annehmen, na mal sehen... Kann aber sein, das Spybot schon alles gelöscht hat...oder? bis später, Pitti |
21.01.2005, 16:17 | #7 |
| MZS.SpoolServer32 So... also hab die Sachen gefixt und eScan im Abgesicherten Modus durchlaufen lassen... Total Files Scanned: 43146 Fri Jan 21 15:33:26 2005 => Total Virus(es) Found: 2 Fri Jan 21 15:33:26 2005 => Total Disinfected Files: 0 Fri Jan 21 15:33:26 2005 => Total Files Renamed: 0 Fri Jan 21 15:33:26 2005 => Total Deleted Files: 0 Fri Jan 21 15:33:26 2005 => Total Errors: 56 Fri Jan 21 15:33:27 2005 => Time Elapsed: 01:16:07 Fri Jan 21 15:33:27 2005 => ***** Scanning complete. ***** Namen: Tool.Win32.Reboot RiskWare.RemoteAdmin.WinVNC-based.c dazu sagt er aber: tagged as not-a-virus (?komisch?) und die Viren sind in Uninstall Files und in Remote Proggies... Den ursprünglichen Trojaner konnte ich nicht mehr aufspüren. So siehts nun aus...mfg Pitti |
21.01.2005, 16:27 | #8 |
MZS.SpoolServer32 Hi, google mal nach dem Begriff 'MZS.SpoolServer32' es sieht so aus, als wenn es durchaus ein Fehlalarm von Spybot S&D sein könnte. z.B. -> http://forums.net-integration.net/in...howtopic=26622
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
Themen zu MZS.SpoolServer32 |
gefunde, leute, ordentlich, rojaner gefunden, spybot, troja, trojaner, trojaner gefunden |