Hi,
hab mir glaube den Trojaner Trojan.intell32 und wahrscheinlich auch noch ein paar andere eingefangen Habe versucht sie mit Ad Awae, Spybot S&D und antivir zu killen und die sagen zumindest, dass alles ok ist, aber mein Hintergrund ist noch schwarz
Hab auch intmon und msole32 per Hand gelöscht, da die noch in WINNT/system32 waren, aber irgendwie hab ich das Gefühl, dass da noch was nicht stimmt... hhk.dll in WINNT/system32 is glaube auch noch böse, oder

Hier mal mein HJT logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:21:21, on 05.09.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ahead\InCD\InCD.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINNT\twain_32\A4CIS600\WATCH.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\explorer.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
E:\Eigene Dateien\Hagen\Live\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Watch.lnk = C:\WINNT\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Kann mir bitte jemand sagen, ob da noch was am brodeln ist

DANKE!

LG

@kaprysonne
Im Log sehe ich nichts Auffälliges. Bitte hier schauen und genau folgen: http://www.trojaner-board.de/42731-escan-anleitung.html

@rene-gad

Zitat:

O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe

nach diesem Verweis
http://startup.iamnotageek.com/srch-RegSvr32.html

Zitat:

X RegSvr32 msmsgs.exe "Added by the Trojan.Zlob.B

und laut Symantec http://securityresponse.symantec.com...an.zlob.b.html
mit Backdoorqualität!?
@kaprysonne
Versuche mal, diese oben zitierte Datei bei Jotti http://virusscan.jotti.org/de/
scannen zu lassen und melde das Ergebnis
Bis denn, stupormundi

@stupormundi
ACK! Habe vermasselt. Sorry.

Danke hab mal die Datei gecheckt...

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Ich habe die Datei auch mal gesucht und leider nicht gefunden (auch nicht unter DOS...)

Habt ihr nen Tipp?

Warum muß man eigentlich manchmal den abgesicherten Modus benutzen, um die Spyware zu killen?

LG

Auch darauf geachtet, dass versteckte Dateien angezeigt werden?
Wenn nein probier diesen link von rene-gad
http://www.trojaner-board.de/59624-a...-sichtbar.html

Zu Deinem Backdoor Problem: Das kannst Du sinnvollerweise ohnedies nicht mehr durch reparieren lösen, sondern nur noch durch Neu Aufsetzen.
Dazu die Anleitung von Cidre
http://www.trojaner-board.de/showthread.php?t=12154
Warum das die einzige Lösung im Zusammenhang mit Backdoor-Trojaner ist und warum nicht eine Entfernung genügt ist hier auch ausreichend berschrieben/verlinkt!
Noch eine Info zu dem von Dir selbst genannten Trojaner
http://research.sunbelt-software.com...threatid=41240

Zitat:

Threat risk: Severe Risk
Severe threats typically are remotely exploitable vulnerabilities, which can lead to system compromise. Successful exploitation does not normally require any interaction and exploits are in the wild. There exists a high possibility of potential system damage or security flaw. Attacker has complete control over your computer or install new software on your machine.

Also, folge besser dem Rat zum Neu-Aufsetzen so schnell als möglich!
bis denn, stupormundi

Hi,
danke für die schnelle Antwort... Das hört sich ja garnet gut an.

Hab das Problem auch mal bei www.thespykiller.co.uk gepostet und die meinten:

First Please disable SpybotSD TeaTimer, as it may hinder the removal of the infection. You can enable it after you're clean.
To disable SpybotSD TeaTimer:

Open Spybot and click on Mode and check Advanced Mode
Check yes to next window.
Click on Tools in bottom left hand corner.
Click on System Startup icon.
Uncheck Teatimer box.
Click Allow Change box.

You can follow this link if you need help: http://russelltexas.com/malware/teatimer.htm
_ _ _ _


Download smitRem.zip and save the file to your desktop.
Right click on the file and extract it to it's own folder on the desktop.

Place a shortcut to Panda ActiveScan on your desktop.

Please download the trial version of Ewido Security Suite here:
http://www.ewido.net/en/download/

Please read Ewido Setup Instructions
Install it, and update the definitions to the newest files. Do NOT run a scan yet.

If you have not already installed Ad-Aware SE 1.06, follow these download and setup instructions, otherwise, check for updates:
Ad-Aware SE Setup
Don't run it yet!

Next, please reboot your computer in SafeMode by doing the following:

* Restart your computer
* After hearing your computer beep once during startup, but before the Windows icon appears, press F8.
* Instead of Windows loading as normal, a menu should appear
* Select the first option, to run Windows in Safe Mode.

Now scan with HJT and place a checkmark next to each of the following items:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe

Open the smitRem folder, then double click the RunThis.bat file to start the tool. Follow the prompts on screen.
Wait for the tool to complete and disk cleanup to finish.


Open Ad-aware and do a full scan. Remove all it finds.


Now open Ewido Security Suite

* Click on scanner
* Make sure the following boxes are checked before scanning:
o Binder
o Crypter
o Archives
* Click on Start Scan
* Let the program scan the machine

While the scan is in progress you will be prompted to clean files, click OK
Once the scan has completed, there will be a button located on the bottom of the screen named Save report

* Click Save Report
* Save the report to your desktop

Close Ewido

Next go to Control Panel click Display > Desktop > Customize Desktop > Website > Uncheck "Security Info" if present.

Reboot back into Windows and click the Panda ActiveScan shortcut, then do a full system scan. Make sure the autoclean box is checked!
Save the scan log and post it along with a new HijackThis Log and the Ewido Log by using Add Reply.
Let us know if any problems persist.


Also, Format C: oder könnte auch das reichen???

Lg

ne, in der anleitung gehts um PSGuard.
Format c: wie du bereits erwähnt hast. (sichere aber vorher deine "wichtigen" Daten wie Dokumente)

Zitat:

Also, Format C: oder könnte auch das reichen???

nein, reicht nicht da Anleitung für andere Baustelle!
also folge meiner Empfehlung
Bis denn, stupormundi

ok, danke... Dann muß ich wohl in den sauren Apfel beissen...
Hast du nen Tipp, was es für schlaue Bücher, Artikel.. über Trojaner gibt. Würd gerne mal ein bissel mehr verstehen, wie das funktioniert und wie man sich besser schützen kann.
Lg

Schau mal den genannten link von Cidre genauer an. Da gibt es jede Menge links zu einschlägiger Info (Was Backdoors können)
Oder auch der link aus Cronos´ Signatur
http://www.dradio.de/dlf/sendungen/wib/253543/
Auch sehr interessant der link zum Vortrag von Volker Birk
http://www.trojaner-board.de/showthread.php?t=13150
Ansonsten habe ich meine Info auch nur aus dem I-Net (stichwort googlen) und natürlich hier von board
Viel Erfolg, stupormundi

Hallo,

hier was Sophos dazu sagt:
http://www.sophos.de/virusinfo/analyses/trojzlobk.html

IMHO ein Downloader, welcher hierzu gehört:
http://www.trojaner-board.de/showthread.php?t=17863

dartus

Hi,
Danke erstmal an alle für Eure Hilfe. Hab jetzt mal das System neu aufgesetzt und mich die letzten Tage mit der Windows 2000 Installation rumgeschlagen. Habe alles, soweit es ging formatiert und neu partitioniert, aber irgendwie spinnt der Rechner immer noch rum. Habe gerade Spybot, Ad-Aware und Antivir drauf, kann das sein, dass die sich gegenseitig behindern und den Rechner das Leben schwer machen?
Ach ja, habe auch vor dem Neuinstallieren nochmal den SmitRem getestet und danach hatte ich auch wieder nen blauen Hintergrund, hab aber trotzdem nochmal Neuaufgesetzt, weil mir das Alles ein bissel Spanisch vorkam...

Kann bitte jemand nochmal auf mein HJT Logfile schauen, ob jetzt Alles ok ist...

Logfile of HijackThis v1.99.1
Scan saved at 12:02:26, on 08.09.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\spooler.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\csrss.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\mozilla.org\Mozilla\mozilla.exe
D:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O1 - Hosts: 211.136.108.75 lloydstsb.co.uk
O1 - Hosts: 211.136.108.75 online.lloydstsb.co.uk
O1 - Hosts: 211.136.108.75 www.lloydstsb.co.uk
O1 - Hosts: 211.136.108.75 www.lloydstsb.com
O1 - Hosts: 211.136.108.75 personal.barclays.co.uk
O1 - Hosts: 211.136.108.75 barclays.co.uk
O1 - Hosts: 211.136.108.75 ibank.barclays.co.uk
O1 - Hosts: 211.136.108.75 www.barclays.co.uk
O1 - Hosts: 211.136.108.75 www.nwolb.com
O1 - Hosts: 211.136.108.75 nwolb.com
O1 - Hosts: 211.136.108.75 hsbc.co.uk
O1 - Hosts: 211.136.108.75 www.hsbc.co.uk
O1 - Hosts: 211.136.108.75 abbey.com
O1 - Hosts: 211.136.108.75 www.abbey.com
O1 - Hosts: 211.136.108.75 www.abbey.co.uk
O1 - Hosts: 211.136.108.75 abbey.co.uk
O1 - Hosts: 211.136.108.75 cahoot.com
O1 - Hosts: 211.136.108.75 www.cahoot.com
O1 - Hosts: 211.136.108.75 www.cahoot.co.uk
O1 - Hosts: 211.136.108.75 cahoot.co.uk
O1 - Hosts: 211.136.108.75 www.co-operativebank.co.uk
O1 - Hosts: 211.136.108.75 co-operativebank.co.uk
O1 - Hosts: 211.136.108.75 www.co-operativebank.com
O1 - Hosts: 211.136.108.75 co-operativebank.com
O1 - Hosts: 211.136.108.75 welcome2.co-operativebankonline.co.uk
O1 - Hosts: 211.136.108.75 welcome6.co-operativebankonline.co.uk
O1 - Hosts: 211.136.108.75 welcome8.co-operativebankonline.co.uk
O1 - Hosts: 211.136.108.75 welcome10.co-operativebankonline.co.uk
O1 - Hosts: 211.136.108.75 www.smile.co.uk
O1 - Hosts: 211.136.108.75 smile.co.uk
O1 - Hosts: 211.136.108.75 www.cajamar.es
O1 - Hosts: 211.136.108.75 cajamar.es
O1 - Hosts: 211.136.108.75 www.cajamar.com
O1 - Hosts: 211.136.108.75 www.unicaja.es
O1 - Hosts: 211.136.108.75 unicaja.es
O1 - Hosts: 211.136.108.75 www.unicaja.com
O1 - Hosts: 211.136.108.75 unicaja.com
O1 - Hosts: 211.136.108.75 www.caixagalicia.es
O1 - Hosts: 211.136.108.75 caixagalicia.es
O1 - Hosts: 211.136.108.75 www.caixagalicia.com
O1 - Hosts: 211.136.108.75 caixagalicia.com
O1 - Hosts: 211.136.108.75 activa.caixagalicia.es
O1 - Hosts: 211.136.108.75 www.caixapenedes.es
O1 - Hosts: 211.136.108.75 caixapenedes.es
O1 - Hosts: 211.136.108.75 www.caixapenedes.com
O1 - Hosts: 211.136.108.75 caixapenedes.com
O1 - Hosts: 211.136.108.75 bancae.caixapenedes.com
O1 - Hosts: 211.136.108.75 www.caixasabadell.es
O1 - Hosts: 211.136.108.75 caixasabadell.es
O1 - Hosts: 211.136.108.75 www.caixasabadell.net
O1 - Hosts: 211.136.108.75 caixasabadell.net
O1 - Hosts: 211.136.108.75 www.cajamadrid.es
O1 - Hosts: 211.136.108.75 cajamadrid.es
O1 - Hosts: 211.136.108.75 www.cajamadrid.com
O1 - Hosts: 211.136.108.75 cajamadrid.com
O1 - Hosts: 211.136.108.75 oi.cajamadrid.es
O1 - Hosts: 211.136.108.75 www.ccm.es
O1 - Hosts: 211.136.108.75 ccm.es
O1 - Hosts: 211.136.108.75 www.haspa.de
O1 - Hosts: 211.136.108.75 haspa.de
O1 - Hosts: 211.136.108.75 ssl2.haspa.de
O1 - Hosts: 211.136.108.75 www.dresdner-bank.de
O1 - Hosts: 211.136.108.75 dresdner-bank.de
O1 - Hosts: 211.136.108.75 www.dresdner-privat.de
O1 - Hosts: 211.136.108.75 postbank.de
O1 - Hosts: 211.136.108.75 www.postbank.de
O1 - Hosts: 211.136.108.75 banking.postbank.de
O1 - Hosts: 211.136.108.75 www.sparda-b.de
O1 - Hosts: 211.136.108.75 sparda-b.de
O1 - Hosts: 211.136.108.75 www.bankingonline.de
O1 - Hosts: 211.136.108.75 www.raiffeisenbank-erding.de
O1 - Hosts: 211.136.108.75 raiffeisenbank-erding.de
O1 - Hosts: 211.136.108.75 www.vr-networld-ebanking.de
O1 - Hosts: 211.136.108.75 vr-networld-ebanking.de
O1 - Hosts: 211.136.108.75 www.bnhof.de
O1 - Hosts: 211.136.108.75 bnhof.de
O1 - Hosts: 211.136.108.75 www.deutsche-bank.de
O1 - Hosts: 211.136.108.75 deutsche-bank.de
O1 - Hosts: 211.136.108.75 meine.deutsche-bank.de
O1 - Hosts: 211.136.108.75 www.citibank.de
O1 - Hosts: 211.136.108.75 citibank.de
O1 - Hosts: 211.136.108.75 cipehb13.cdg.citibank.de
O1 - Hosts: 211.136.108.75 www.dkb.de
O1 - Hosts: 211.136.108.75 dkb.de
O1 - Hosts: 211.136.108.75 www.sparkasse-regensburg.de
O1 - Hosts: 211.136.108.75 sparkasse-regensburg.de
O1 - Hosts: 211.136.108.75 www.berliner-bank.de
O1 - Hosts: 211.136.108.75 berliner-bank.de
O1 - Hosts: 211.136.108.75 www.berliner-sparkasse.de
O1 - Hosts: 211.136.108.75 berliner-sparkasse.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{581399D2-E691-4822-97E5-584BCE104E95}: NameServer = 62.27.27.62 195.247.247.195
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINNT\System32\spooler.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe



Was bedeuten eigentlich diese O1 - ... Einträge
(O1 - Hijack of auto.search.msn.com with Hosts file) ???

Hatte auch gerade ein Problem mit lsass.exe => Rechner hat sich heruntergefahren...
Is doch alles Mist!

LG

@kaprysonne

Zitat:

Was bedeuten eigentlich diese O1 - ... Einträge

Das bedeutet, dass du, trotz den gegebenen dir Ratschlägen

Zitat:

Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

dein System nicht abgesichert hast.
Für Win2000 gibt es schon seit 3 Jahren SP4
Internet Explorer existiert in der Version 6 SP1.
Alles, was darunter ist, kann keinerlei die Sicherheit eines Windows-Systems gewährleisten.

Hallo, kaprysonne!

Naja,

Zitat:

Hab jetzt mal das System neu aufgesetzt und mich die letzten Tage mit der Windows 2000 Installation rumgeschlagen

und

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 12:02:26, on 08.09.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

hast aber nicht die Ratschläge zur Absicherung des Systems und Akualisierung ernstgenommen!

Zitat:

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINNT\System32\spooler.exe

http://www.bleepingcomputer.com/star....EXE-9950.html und
http://www.tasklist.org/task_SPOOLER_EXE_8217.html und
http://castlecops.com/s8762-SPOOLER_EXE.html und ...
Wieder ein Backdoor?
Lass die Datei mal bei Jotti prüfen!
stupormundi