ist da nochwas drin? DANKE

s0nstwer · 31.03.2007, 07:34

Hi!

auf meiner Platte hatte sich der ardamax keyloger eingenistet.Nachdem ich avast, ad-aware und spybot drüber gejagt habe, wird nix mehr gefunden... seht ihr da was?? DANKE

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 08:23:43, on 31.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\System Control Manager\edd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\VeriSoft\Universal Security Client\Bin\AsGHost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\vsnp2std.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\System Control Manager\MGSysCtrl.exe
C:\Programme\WLAN Monitor\WLConfig.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NetMeter\NetMeter.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\WLAN Monitor\accwpac.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\edit\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msi.com.tw/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Universal Security Client - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\VeriSoft\Universal Security Client\Bin\ItIEAddIn.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\VeriSoft\UNIVER~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\WLConfig.exe" -autostart
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\Sys\spoolsv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [C:\Programme\NetMeter\NetMeter.exe] C:\Programme\NetMeter\NetMeter.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msi.com.tw
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: OneCard - C:\Programme\VeriSoft\Universal Security Client\Bin\ASWLNPkg.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Programme\System Control Manager\edd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 7091 bytes

**Sunny** · 31.03.2007, 09:04

Hallo.

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\Sys\spoolsv.exe

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny

s0nstwer · 31.03.2007, 09:36

hi! ... also die SuFu (inkl. aller Hinweise) bringt mir 3x die datei ...

[img=http://img241.imageshack.us/img241/6492/spoollu0.th.jpg]

das ergebnis der ersten datei ist wie folgt:

Complete scanning result of "spoolsv.exe", received in VirusTotal at 03.31.2007, 10:28:15 (CET).

AntivirusVersionUpdateResult AhnLab-V32007.3.31.003.31.2007no virus foundAntiVir7.3.1.4603.30.2007no virus foundAuthentium4.93.803.31.2007no virus foundAvast4.7.936.003.30.2007no virus foundAVG7.5.0.44703.30.2007no virus foundBitDefender7.203.31.2007no virus foundCAT-QuickHeal9.0003.30.2007no virus foundClamAVdevel-2007031203.31.2007no virus foundDrWeb4.3303.30.2007no virus foundeSafe7.0.15.003.29.2007no virus foundeTrust-Vet30.6.352703.31.2007no virus foundEwido4.003.30.2007no virus foundFileAdvisor103.31.2007No threat detectedFortinet2.85.0.003.31.2007no virus foundF-Prot4.3.1.4503.30.2007no virus foundF-Secure6.70.13030.003.30.2007no virus foundIkarusT3.1.1.303.31.2007no virus foundKaspersky4.0.2.2403.31.2007no virus foundMcAfee499703.31.2007no virus foundMicrosoft1.230603.31.2007no virus foundNOD32v2215803.30.2007no virus foundNorman5.80.0203.30.2007no virus foundPanda9.0.0.403.30.2007no virus foundPrevx1V203.31.2007no virus foundSophos4.16.003.30.2007no virus foundSunbelt2.2.907.003.31.2007no virus foundSymantec1003.31.2007no virus foundTheHacker6.1.6.08303.30.2007no virus foundUNA1.8303.16.2007no virus foundVBA323.11.303.30.2007no virus foundVirusBuster4.3.7:903.30.2007no virus foundWebwasher-Gateway6.0.103.31.2007no virus found

Aditional Information File size: 57856 bytesMD5: da81ec57acd4cdc3d4c51cf3d409af9fSHA1: 7047ed8bd91f3e57972483feaa56e3499cd8c668Bit9 info: Bit9 FileAdvisor - Search Results

und ??? ... achja, danke erstmal für Deine hilfe :aplaus:

grüße

Nachtrag: der scan als Bild:

[img=http://img375.imageshack.us/img375/8088/virusgd7.th.jpg]

s0nstwer · 01.04.2007, 09:42

ähm... und????

**Sunny** · 01.04.2007, 09:55

Hast du dieses Datei in diesem Ordner auswerten lassen???

Zitat:

C:\WINDOWS\system32\Sys\spoolsv.exe

Sunny

s0nstwer · 01.04.2007, 10:51

Zitat:

Zitat von [Gc]Sunny

Hast du dieses Datei in diesem Ordner auswerten lassen???

Sunny

guten morgen!

nun, die dateisuche erbrachte ausweislich des ersten screenshots nur eine in system32, NICHT in system32/sys !! ... die hab ich nicht! ... also ich hab nichtmal den Ordner!

daher nahm ich die, die direkt in system32 liegt und hab sie auswerten lassen... Ergebnis siehe screenshot2 ...

und nun?

**Sunny** · 01.04.2007, 10:59

Hast du auch die versteckten Dateien und Ordner sichtbar gemacht als du gesucht hast?

Versteckte Dateien anzeigen lassen:

* Lies dir folgende Anleitung gut durch und arbeite sie ab:
-> versteckte Dateien anzeigen!

(Ein Dankeschön hierbei an Rene-gad für die Anleitung.

)

Sunny

s0nstwer · 01.04.2007, 11:06

aber ja, die anleitung ist exakt abgearbeitet worden ... ergebnis: siehe 1. screenshot

anbei bspw. der windows-system32-ordner:

= OHNE "sys"-Unterordner ...

**Sunny** · 01.04.2007, 11:24

Der Ordner ist da, er lässt sich nur nicht finden bzw. der Schädling (Virus/Trojaner) versteckt ihn!

Mach folgendes, klicke auf die Seite von Virustotal und kopiere in das weiße Feld auf der Seite diesen Dateipfad:

Zitat:

C:\WINDOWS\system32\Sys\spoolsv.exe

Klicke dann auf SEND und kopiere dann die Auswertung hier in einen Beitrag.

Sunny

s0nstwer · 01.04.2007, 11:29

Zitat:

Zitat von [Gc]Sunny

Der Ordner ist da, er lässt sich nur nicht finden bzw. der Schädling (Virus/Trojaner) versteckt ihn!

Mach folgendes, klicke auf die Seite von Virustotal und kopiere in das weiße Feld auf der Seite diesen Dateipfad:

Klicke dann auf SEND und kopiere dann die Auswertung hier in einen Beitrag.

Sunny

hab ich gemacht .... da kommt da folgendes:

[img=http://img517.imageshack.us/img517/5631/nixyn0.th.jpg]

ist da nochwas drin? DANKE

Log-Analyse und Auswertung: ist da nochwas drin? DANKE