hallo.

ich probiers jetzt nochmal, aber mit editierten HJT-File.

hab seit kurzem Internetverbindungs-Abbrüche, und zwar seit ich zonealarm firewall deinstalliert habe, weil sie sich nicht updaten ließe und deshalb nicht startete.
seltsamerweise taucht eine datei (drsmartload.exe und dp.exe) immer wieder im system32 ordner auf. löschen zwecklos.

hoffe ihr profis könnt mir da helfen und guckt euch mal mein HJT file an:

Logfile of HijackThis v1.99.1
Scan saved at 18:51:51, on 17.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\ircomm2k.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\spool.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\programme\active sync\WCESCOMM.EXE
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\programme\active sync\WCESCOMM.EXE"
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe
O4 - Global Startup: tempweg.bat
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\programme\active sync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programme\active sync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programme\active sync\INETREPL.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/075ca0515b6fe816a519/netzip/RdxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - h**p://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F349EE1E-E7AA-43FC-81DA-DDBA2AA5C4A8}: NameServer = 195.58.160.194 195.58.161.122
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINNT\System32\ircomm2k.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\spool.exe

hast du deinen virenscanner schon mal gebraucht?

prüfe die datei ob sie virulent ist und lösch diese datei im abgesicherten modus:
C:\WINNT\spool.exe

wenn ja, den eintrag auch fixen:
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\spool.exe

und wenn du mit diesen folgenden webseiten nix am hut hast dann auch fixen!
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank


im abgesicherten bleiben, temporär aufräumen...temp ordner leeren, eventuell auch mit dem kleinen tool cclenaer aufräumen.

dann nochmal scannen mit dem virenscanner und ein ergebnis posten.

@Rock,

ich glaube nicht das eine Bereinigung in diesem Falle noch Sinn macht:

Zitat:

C:\WINNT\spool.exe

hinter dieser Datei könnte sich mehr verstecken KLICK

@Marty,

lass die o.g. Datei mal bei Virustotal auswerten, und poste natürlich anschliessend das Ergebnis.
Lies dir vielleicht zuätzlich "schonmal" folgenden LINK durch:
http://www.trojaner-board.de/showthread.php?t=12154

Gruß
Daniel

im falle des neuaufsetzens: welche antivirussoftware ist empfehlenswert? welche soll ich kaufen? reicht die windows-firewall aus?

so. sorry hat ein bisschen länger gedauert, aber hier die auswertung der spool.exe:

Antivirus Version Update Result
AntiVir 6.35.0.24 07.23.2006 Worm/Sdbot.92160.106
Authentium 4.93.8 07.21.2006 W32/Sdbot.UAF
Avast 4.7.844.0 07.21.2006 Win32:SdBot-3617
AVG 386 07.21.2006 no virus found
BitDefender 7.2 07.22.2006 Backdoor.SDBot.59C8D7B8
CAT-QuickHeal 8.00 07.22.2006 Backdoor.SdBot.xd
ClamAV devel-20060426 07.21.2006 Trojan.SdBot-1940
DrWeb 4.33 07.23.2006 Win32.HLLW.MyBot.based
eTrust-InoculateIT 23.72.76 07.23.2006 no virus found
eTrust-Vet 12.6.2305 07.21.2006 Win32/Petribot.UH
Ewido 4.0 07.23.2006 Backdoor.SdBot.xd
Fortinet 2.77.0.0 07.22.2006 W32/SDBot.G!tr.bdr
F-Prot 3.16f 07.21.2006 security risk named W32/Sdbot.UAF
F-Prot4 4.2.1.29 07.21.2006 W32/Sdbot.UAF
Ikarus 0.2.65.0 07.23.2006 no virus found
Kaspersky 4.0.2.24 07.23.2006 Backdoor.Win32.SdBot.xd
McAfee 4812 07.21.2006 W32/Sdbot.worm.gen.g
Microsoft 1.1508 07.23.2006 no virus found
NOD32v2 1.1675 07.23.2006 a variant of IRC/SdBot
Norman 5.90.23 07.21.2006 W32/SDBot.AFSY
Panda 9.0.0.4 07.23.2006 W32/Sdbot.HSF.worm
Sophos 4.07.0 07.23.2006 W32/Sdbot-CAR
Symantec 8.0 07.23.2006 no virus found
TheHacker 5.9.8.179 07.21.2006 no virus found
UNA 1.83 07.21.2006 Backdoor.SdBot
VBA32 3.11.0 07.22.2006 Backdoor.Win32.SdBot.xd
VirusBuster 4.3.7:9 07.22.2006 no virus found


hilft das weiter?

danke
Marty

Zitat:

Zitat von Marty McFly

hilft das weiter?

Es hilft mir weiter dir zu erklären, warum du dein System neu aufsetzen musst:
Der BackdoorTrojaner (spool.exe!) kann/hat folgendes anstellen/angestellt:

* Ermöglicht Dritten den Zugriff auf den Computer
* Lädt Code aus dem Internet herunter
* Installiert sich in der Registrierung
* Nutzt bekannte Schwachstellen aus

Daher nimm meinen Rat an, und nimm den Rechner schnell vom Netz und setzte neu auf...

Sorry,
Daniel