spoolw.exe

Janis · 20.03.2008, 14:25

Heyho! Habe schon selbst probiert diese Datei durch hijack zu löschen, hat aber nichts gebracht... Wenn ich den Prozess im taskmanager beende öffnet er sich sofort wieder. Ab und zu öffnet sich der internetexplorer einfach so, wobei die Startseite immer "about:blank" ist, kann die Startseite auch nicht ändern - benutze aber auch Mozilla... Hier der Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:22:06, on 20.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Symphony\maestro.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\spoolw.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\odkies\hijackthis_199\HijackThis.exe

F3 - REG:win.ini: run=
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: T-Sinus 930 Konfiguration.lnk = C:\Programme\Symphony\maestro.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Mellosun · 20.03.2008, 14:49

Hallo, lasse bitte folgende Dateien Online bei Jotti oder Virustotal auswerten:

C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\spoolw.exe (sollte auch zweimal vorhanden sein)
C:\WINDOWS\system32\igfxsvc.exe

Wenn sich das bestätigt wovon ich zum jetzigen Zeitpunkt ausgehe, sieht es nicht gut aus!

Poste den gesamten bericht der Auswertung, einschließlich der Prüfsumme usw.!

Solltest du die Dateien nicht finden, folge dem link in meiner SIG zum sichtbar machen der Versteckten Dateien!

Janis · 20.03.2008, 21:53

Hmm, deine verlinkten Seiten sind down... Hab bei F-Secure ein Online-Scan gemacht und er hat ca. 900 Viren gefunden. Beim Löschen ist er dann abgeschmiert, aber der häufigste war: Trojan.Win32.Dialer mit vielen verschiedenen Nummer im C:\Windows ordner. Hab die nu vvon Hand gelöscht. Was mir auch noch aufgefallen ist, dass wenn ich zuerst igfxsvc.exe im Taskmanager beende und dann spoolw.exe beende, öffnet sie sich nicht wieder. Danke aber für deine Hilfe! Mal schauen wie lange es sich hält

Mellosun · 20.03.2008, 22:05

Die Links sind nicht Down!

Habe es eben getestet...gehen beide!

Dann mache führe mal dies hier aus!
Bitte im Abgesicherten Modus!

Janis · 21.03.2008, 15:37

Jau, vielen dank! Das hat soweit geklappt. Hat die Dateien zwar nicht von selbst gelöscht, aber dafür hat er sie nicht mehr gestartet... Hab sie dann von Hand gelöscht und denke, jetzt sollte alles ok sein. Danke!!

Wenn man kein Online-Banking oder wichtige Information auf seinem Rechner hat, ist es doch fast egal einen Trojaner zu haben oder?

Janis · 12.04.2008, 17:55

Das Ding ist wieder da!! ;(
Jetzt ist aber die Probezeit von dem Programm abgelaufen... Gibt es eine andere kostenlose Lösung? Hier wieder der Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:54:00, on 12.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\spoolw.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolw.exe
C:\Programme\Symphony\maestro.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\odkies\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
F3 - REG:win.ini: run=
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: XMLDP Class - {72A128E0-2240-40c8-9E92-5387D64F839E} - C:\WINDOWS\xml2u32.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: T-Sinus 930 Konfiguration.lnk = C:\Programme\Symphony\maestro.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Janis · 14.04.2008, 09:55

Weiß keiner einen anderen Rat? Kann das Antispywareprogramm nicht mehr benutzen...

Sabina · 14.04.2008, 10:40

Hallo,

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat:

O2 - BHO: XMLDP Class - {72A128E0-2240-40c8-9E92-5387D64F839E} - C:\WINDOWS\xml2u32.dll

2.
wende CCleaner an
CCleaner

3.
wende windowsscan an + poste den kompletten report
Windows Scan - Vistascan

Janis · 14.04.2008, 14:30

Hi Sabrina!

Danke schonmal für die Hilfe!! Hab alles ausgeführt, hier der Log:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

14.04.2008 WindowsUpdate.log 15 27:415.320
14.04.2008 bootstat.dat 15 26:2.048
14.04.2008 SchedLgU.Txt 15 23:32.572
14.04.2008 12971602.exe 14 29:25.600
14.04.2008 12969399.exe 14 29:47.104
14.04.2008 8950199.exe 13 22:47.104
14.04.2008 8948397.exe 13 22:25.600
14.04.2008 4936738.exe 12 15:47.104
14.04.2008 4934735.exe 12 15:25.600
14.04.2008 882088.exe 11 08:47.104
14.04.2008 881657.exe 11 08:47.104
12.04.2008 32134807.exe 20 27:47.104
12.04.2008 32134006.exe 20 27:25.600
12.04.2008 28119433.exe 19 20:25.600
12.04.2008 28119233.exe 19 20:25.600
12.04.2008 win.ini 11 34:706
12.04.2008 system.ini 11 34:227
23.02.2008 mozregistry.dat 22 24:335
17.12.2007 DUMP5854.tmp 14 45:94.208
05.12.2007 WORDPAD.INI 22 26:754
09.11.2007 WDIRECT.INI 16 37:56
14.10.2007 mixerdef.ini 13 24:25
26.09.2007 WININIT.INI 13 09:244
17.09.2007 WMSysPr9.prx 13 54:316.640
02.09.2007 mozver.dat 13 08:2.317
17.07.2007 scunin.dat 21 07:10.736
17.07.2007 ScUnin.pif 21 07:967

Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

13.04.2008 wpa.dbl 14 53:13.002
30.03.2008 perfh009.dat 18 38:311.604
30.03.2008 perfc009.dat 18 38:39.992
30.03.2008 perfc007.dat 18 38:48.156
30.03.2008 perfh007.dat 18 38:316.594
30.03.2008 PerfStringBackup.INI 18 38:723.744
14.03.2008 FNTCACHE.DAT 18 38:262.232
12.10.2007 609467646.dat 15 20:109
17.09.2007 spupdwxp.log 13 50:249
02.09.2007 jupdate-1.6.0_02-b06.log 13 08:5.214
08.08.2007 wpa.bak 13 42:12.980
30.07.2007 wuweb.dll 19 19:203.096
12.07.2007 javaws.exe 02 22:139.264
12.07.2007 javacpl.cpl 02 22:69.632
12.07.2007 javaw.exe 01 22:135.168
12.07.2007 java.exe 01 22:135.168
11.07.2007 CmdLineExt03.dll 15 23:43.520
10.07.2007 SIntfNT.dll 02 11:21.840
10.07.2007 SIntf32.dll 02 11:17.212
10.07.2007 SIntf16.dll 02 11:12.067
09.07.2007 amcompat.tlb 23 17:16.832
09.07.2007 nscompat.tlb 23 17:23.392
09.07.2007 d3d8caps.dat 22 21:552
09.07.2007 h323log.txt 21 52:0
09.07.2007 wmpscheme.xml 21 33:25.065
09.07.2007 divxsm.tlb 21 07:4.816
09.07.2007 DivXsm.exe 21 07:524.288
09.07.2007 dsm_de.qm 21 07:10.152
09.07.2007 qt-dx331.dll 21 07:3.596.288
09.07.2007 pxcpyi64.exe 21 07:116.472
09.07.2007 pxinsi64.exe 21 07:118.520
09.07.2007 libdivx.dll 21 07:1.044.480
09.07.2007 ssldivx.dll 21 07:200.704
09.07.2007 dpl100.dll 21 05:73.728
09.07.2007 dtu100.dll 21 05:196.608
09.07.2007 dpuGUI10.dll 21 05:53.248
09.07.2007 dpuGUI11.dll 21 05:593.920
09.07.2007 dpus11.dll 21 05:344.064
09.07.2007 dpv11.dll 21 05:57.344
09.07.2007 dpu10.dll 21 05:294.912
09.07.2007 dpu11.dll 21 05:294.912
09.07.2007 divx_xx07.dll 21 05:823.296
09.07.2007 divx_xx0c.dll 21 05:823.296
09.07.2007 divx_xx11.dll 21 05:802.816
09.07.2007 DivX.dll 21 05:740.442
09.07.2007 divxdec.ax 21 05:638.976
09.07.2007 DivXMedia.ax 21 05:352.401

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 download.microsoft.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads.microsoft.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 go.microsoft.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 microsoft.com
192.168.200.3 msdn.microsoft.com
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 office.microsoft.com
192.168.200.3 pandasoftware.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 support.microsoft.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 windowsupdate.microsoft.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.microsoft.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.pandasoftware.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com

***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****

Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 16 K
System 4 Console 0 212 K
smss.exe 444 Console 0 372 K
csrss.exe 676 Console 0 3.700 K
winlogon.exe 700 Console 0 2.432 K
services.exe 744 Console 0 3.840 K
lsass.exe 756 Console 0 5.416 K
svchost.exe 912 Console 0 4.524 K
svchost.exe 968 Console 0 3.896 K
svchost.exe 1108 Console 0 20.956 K
svchost.exe 1156 Console 0 2.720 K
svchost.exe 1240 Console 0 4.384 K
spoolsv.exe 1536 Console 0 4.180 K
wdfmgr.exe 1844 Console 0 1.732 K
alg.exe 244 Console 0 3.304 K
explorer.exe 1088 Console 0 20.660 K
wscntfy.exe 1096 Console 0 1.972 K
spoolw.exe 1228 Console 0 3.300 K
winampa.exe 1280 Console 0 2.084 K
mixer.exe 1304 Console 0 3.784 K
ctfmon.exe 1152 Console 0 2.876 K
spoolw.exe 1324 Console 0 3.296 K
maestro.exe 1344 Console 0 4.440 K
igfxsvc.exe 1400 Console 0 1.728 K
igfxsvc.exe 1496 Console 0 1.728 K
igfxsvc.exe 1264 Console 0 1.728 K
wuauclt.exe 1068 Console 0 6.444 K
wuauclt.exe 2044 Console 0 5.064 K
cmd.exe 376 Console 0 1.752 K
tasklist.exe 112 Console 0 4.224 K
wmiprvse.exe 736 Console 0 5.368 K

Microsoft Windows XP [Version 5.1.2600]

http://www.paules-pc-forum.de
***** Malware Team *****

***** Ende des Scans 14.04.2008 um 15:28:39,57 ***

Sabina · 14.04.2008, 18:21

Hallo,

2.
Lade otmoveIt
OTMoveIt by OldTimer
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move
Klicke auf den Roten MoveIt!

Zitat:

C:\WINDOWS\12971602.exe
C:\WINDOWS\12969399.exe
C:\WINDOWS\8950199.exe
C:\WINDOWS\8948397.exe
C:\WINDOWS\4936738.exe
C:\WINDOWS\4934735.exe
C:\WINDOWS\882088.exe
C:\WINDOWS\881657.exe
C:\WINDOWS\32134807.exe
C:\WINDOWS\32134006.exe
C:\WINDOWS\28119433.exe
C:\WINDOWS\28119233.exe
C:\WINDOWS\xml2u32.dll

2.
lade sdfix -
SDFix
...boote in den abgesicherten Modus , dort scanne, dann im normalmodus poste den Report, der erscheint

so wird auch die Hosts gesäubert. u.a....

wenn das erledigt ist, sehen wir weiter.

Janis · 14.04.2008, 19:36

SDFix: Version 1.171
Run by odkies on 14.04.2008 at 20:20

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\s32.txt - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-14 20:27:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT]
"EventMessageFile"=str(2):"c:\windows\system32\ESENT.dll"
"CategoryMessageFile"=str(2):"c:\windows\system32\ESENT.dll"

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\setupapi.log 756 bytes
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb00002.log 131072 bytes
C:\WINDOWS\SoftwareDistribution\WuRedir\9482F4B4-E343-43B6-B170-9A65BC822C77\wuredir.cab.bak 10040 bytes
C:\WINDOWS\LastGood
C:\WINDOWS\LastGood\INF
C:\WINDOWS\LastGood\INF\oem1.inf 0 bytes
C:\WINDOWS\LastGood\INF\oem1.PNF 0 bytes
C:\WINDOWS\LastGood\INF\wuau.adm 42028 bytes
C:\WINDOWS\LastGood\system32
C:\WINDOWS\LastGood\system32\cdm.dll 66560 bytes executable
C:\WINDOWS\LastGood\system32\wuapi.dll 431616 bytes executable
C:\WINDOWS\LastGood\system32\wuauclt.exe 111616 bytes executable
C:\WINDOWS\LastGood\system32\wuaucpl.cpl 162816 bytes executable
C:\WINDOWS\LastGood\system32\wuaueng.dll 1134592 bytes executable
C:\WINDOWS\LastGood\system32\wucltui.dll 113664 bytes executable
C:\WINDOWS\LastGood\system32\wups.dll 36864 bytes executable

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 16

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sat 11 Aug 2007 23,672 A..H. --- "C:\Spiele\cracked_d2maphack_v7.2\AUTOMAP0.TMP"
Sat 11 Aug 2007 566 A..H. --- "C:\Spiele\cracked_d2maphack_v7.2\AUTOMAP1.TMP"
Mon 30 May 2005 39,424 A..H. --- "C:\Dokumente und Einstellungen\Schule\Technik\Brennstoffzelle\~WRL0001.tmp"
Tue 31 May 2005 55,296 A..H. --- "C:\Dokumente und Einstellungen\Schule\Technik\Brennstoffzelle\~WRL2859.tmp"
Tue 31 May 2005 39,936 A..H. --- "C:\Dokumente und Einstellungen\Schule\Technik\Brennstoffzelle\~WRL2997.tmp"

Finished!

Janis · 14.04.2008, 19:40

Hier nochmal hijack Log... spoolw und diese igfxxx Datei sind immer noch da

Janis · 14.04.2008, 19:42

Sorry, vergessen den Log reinzuposten....

Hier nochmal hijack Log... spoolw und diese igfxxx Datei sind immer noch da

Logfile of HijackThis v1.99.1
Scan saved at 20:39:27, on 14.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Symphony\maestro.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolw.exe
C:\Dokumente und Einstellungen\odkies\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: XMLDP Class - {72A128E0-2240-40c8-9E92-5387D64F839E} - C:\WINDOWS\xml2u32.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: T-Sinus 930 Konfiguration.lnk = C:\Programme\Symphony\maestro.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Sabina · 15.04.2008, 00:11

Hallo,

wende bitte Combofix an - klicke die Warnmeldung weg, kopiere dann hier den report
combofix

Gruss
Sabina

Janis · 15.04.2008, 16:13

Hier der Log: Kann ich die Dateien im Registrierungseditor löschen?

ComboFix 08-04-14.2 - odkies 2008-04-15 17:01:51.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.512 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\odkies\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\odkies\Anwendungsdaten\install.dat
C:\WINDOWS\12951893.exe
C:\WINDOWS\12953506.exe
C:\WINDOWS\12954107.exe
C:\WINDOWS\1497853.exe
C:\WINDOWS\4872736.exe
C:\WINDOWS\4872916.exe
C:\WINDOWS\4872936.exe
C:\WINDOWS\5523111.exe
C:\WINDOWS\8908930.exe
C:\WINDOWS\8909531.exe
C:\WINDOWS\8909931.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-15 bis 2008-04-15 ))))))))))))))))))))))))))))))
.

2008-04-15 16:56 . 2008-04-15 16:56 <DIR> d-------- C:\WINDOWS\LastGood
2008-04-14 22:29 . 2008-04-15 17:06 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-04-14 20:51 . 2008-04-14 20:51 126,976 --a------ C:\WINDOWS\xml2u32.dll
2008-04-14 20:17 . 2008-04-14 20:17 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-14 20:17 . 2008-04-14 20:34 <DIR> d-------- C:\SDFix
2008-04-14 20:04 . 2008-04-14 20:04 <DIR> d-------- C:\_OTMoveIt
2008-04-12 19:04 . 2008-04-12 19:04 <DIR> d-------- C:\Programme\CCleaner
2008-03-21 16:02 . 2008-04-08 13:24 <DIR> d-------- C:\Dokumente und Einstellungen\odkies\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-21 16:02 . 2008-03-21 16:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-20 21:31 . 2008-03-20 21:31 <DIR> d-------- C:\fsaua.data
2008-03-20 16:30 . 2008-03-20 22:46 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-14 18:03 --------- d-----w C:\Programme\Trillian
2008-03-19 12:51 --------- d-----w C:\Programme\Symphony
2007-10-12 13:20 109 --sha-w C:\WINDOWS\system32\609467646.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{72A128E0-2240-40c8-9E92-5387D64F839E}]
2008-04-14 20:51 126976 --a------ C:\WINDOWS\xml2u32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"spoolw"="C:\WINDOWS\system32\spoolw.exe" [2004-08-04 00:57 2108]
"igfxsvc"="C:\WINDOWS\system32\igfxsvc.exe" [2004-08-04 00:57 2108]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HydraVisionDesktopManager"="C:\Programme\ATI Technologies\HydraVision\HydraDM.exe" [2002-08-14 10:28 262144]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 21:00 315392]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22 35328]
"C-Media Mixer"="Mixer.exe" [2001-11-15 12:08 1216512 C:\WINDOWS\mixer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-07-10 16:31:12 110592]
T-Sinus 930 Konfiguration.lnk - C:\Programme\Symphony\maestro.exe [2007-07-10 00:11:30 540729]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{1D516154-6AC0-426C-92A1-FDC0073E8A1B}"= C:\DOKUME~1\odkies\LOKALE~1\Temp\ntwzhook.dll [ ]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 03:06 40048 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxsvc]
--a------ 2004-08-04 00:57 2108 C:\WINDOWS\system32\igfxsvc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spoolw]
--a------ 2004-08-04 00:57 2108 C:\WINDOWS\system32\spoolw.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-07-12 04:00 132496 C:\Programme\Java\jre1.6.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"Symphony Switcher Service"=2 (0x2)
"gusvc"=2 (0x2)
"BITS"=3 (0x3)
"AudioSrv"=2 (0x2)
"aawservice"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:UDP"= 6112:UDP:Startcraft
"6119:UDP"= 6119:UDP:Starcraft2

R2 sympxchm;sympxchm;C:\WINDOWS\system32\DRIVERS\sympxchm.sys [2001-09-10 17:42]
R3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-08-18 05:27]
R3 sympusb;sympusb;C:\WINDOWS\system32\DRIVERS\sympusb.sys [2001-10-22 11:23]
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;C:\DOKUME~1\odkies\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys []
S4 Symphony Switcher Service;Symphony Switcher Service;C:\Programme\Symphony\sw_serv.exe [2002-01-23 09:05]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-15 17:06:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
spoolw = C:\WINDOWS\system32\spoolw.exe????????????????????????????????????????????????????????????????????????????????????????????????
igfxsvc = C:\WINDOWS\system32\igfxsvc.exe???????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-15 17:12:05
ComboFix-quarantined-files.txt 2008-04-15 15:11:03

13 Verzeichnis(se), 28,242,759,680 Bytes frei
17 Verzeichnis(se), 28,189,949,952 Bytes frei
.
2008-04-14 20:29:17 --- E O F ---

20.03.2008, 22:05	#4
Mellosun	spoolw.exe Die Links sind nicht Down! Habe es eben getestet...gehen beide! Dann mache führe mal dies hier aus! Bitte im Abgesicherten Modus! __________________ Anleitung zum Neuaufsetzen Virustotal / Jotti Für alle Neuen

21.03.2008, 15:37	#5
Janis	spoolw.exe Jau, vielen dank! Das hat soweit geklappt. Hat die Dateien zwar nicht von selbst gelöscht, aber dafür hat er sie nicht mehr gestartet... Hab sie dann von Hand gelöscht und denke, jetzt sollte alles ok sein. Danke!! Wenn man kein Online-Banking oder wichtige Information auf seinem Rechner hat, ist es doch fast egal einen Trojaner zu haben oder?

14.04.2008, 09:55	#7
Janis	spoolw.exe Weiß keiner einen anderen Rat? Kann das Antispywareprogramm nicht mehr benutzen...

14.04.2008, 19:40	#12
Janis	spoolw.exe Hier nochmal hijack Log... spoolw und diese igfxxx Datei sind immer noch da

15.04.2008, 00:11	#14
Sabina	spoolw.exe Hallo, wende bitte Combofix an - klicke die Warnmeldung weg, kopiere dann hier den report combofix Gruss Sabina __________________ MfG Sabina

spoolw.exe

Log-Analyse und Auswertung: spoolw.exe

spoolw.exe

spoolw.exe

spoolw.exe

spoolw.exe

spoolw.exe

spoolw.exe

spoolw.exe

spoolw.exe

spoolw.exe

spoolw.exe

spoolw.exe

spoolw.exe

spoolw.exe

spoolw.exe

spoolw.exe