spools.exe (LogFile vorhanden)

Vizemeister · 02.04.2008, 23:47

Auf dem Rechner meines Vaters ging heute gar nichts mehr, das System hat pro Sekunde mehrere hundert Mails versendet.

HiJackThis sagte mir, dass es an einer Datei spools.exe im Verzeichnis system32/drivers liegt, ich habe versucht die Datei zu löschen, jedoch stellt sich die Datei anscheindend von alleine wieder her.
Eine zweite schädliche Datei wird auch genannt, diese kann ich ebenfalls nicht löschen, habe es auch in beiden Fällen im abgesicherten Modus versucht.

Hier die Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:15:11, on 03.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\Programme\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\BN7.tmp
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\Büro\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\IEBHO23.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\Administrator.LENZ-5Y7UOKTIOI\cftmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\Büro\cftmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174309744453
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1174309731765
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast4\ashWebSv.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)

--
End of file - 6724 bytes

**Sunny** · 03.04.2008, 14:24

Hallo Vizemeister und

Dein System wird als "Spammaschine" missbraucht, es gehört nicht mehr dir, das Beste wäre ein von Grund auf neu installiertes Windows.

Mach bitte mal folgendes:

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\IEBHO23.dll
C:\WINDOWS\TEMP\BN7.tmp
C:\WINDOWS\system32\drivers\spools.exe
C:\Dokumente und Einstellungen\Administrator.LENZ-5Y7UOKTIOI\cftmon.exe
C:\Dokumente und Einstellungen\Büro\cftmon.exe
C:\WINDOWS\SYSTEM32\WLCtrl32.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Für dein System gibt es keine Rettung mehr, hier gilt nur noch eine Neuinstallation des Betriebssystems -> http://www.trojaner-board.de/51262-n...sicherung.html

Sunny

Vizemeister · 03.04.2008, 16:41

C:\WINDOWS\system32\IEBHO23.dll:

Datei IEBHO23.dll empfangen 2008.04.03 17:19:31 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 17/32 (53.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.3.3 2008.04.03 -
AntiVir 7.6.0.80 2008.04.03 TR/Spy.Goldun.adg
Authentium 4.93.8 2008.04.03 -
Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.03 PSW.Banker4.XZZ
BitDefender 7.2 2008.04.03 -
CAT-QuickHeal 9.50 2008.04.02 -
ClamAV 0.92.1 2008.04.03 PUA.Packed.UPack
DrWeb 4.44.0.09170 2008.04.03 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5667 2008.04.03 -
Ewido 4.0 2008.04.03 -
F-Prot 4.4.2.54 2008.04.02 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.04.03 Trojan-Spy.Win32.Goldun.adg
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.03 -
Ikarus T3.1.1.20 2008.04.03 Trojan-Spy.Win32.Banbra.hb
Kaspersky 7.0.0.125 2008.04.03 Trojan-Spy.Win32.Goldun.adg
McAfee 5265 2008.04.02 Spy-Agent.cq
Microsoft 1.3408 2008.04.03 VirTool:Win32/Obfuscator.C
NOD32v2 2999 2008.04.03 Win32/Spy.Banker.ORW
Norman 5.80.02 2008.04.03 W32/Goldun.BUP
Panda 9.0.0.4 2008.04.03 Suspicious file
Prevx1 V2 2008.04.03 Generic.Malware
Rising 20.38.60.00 2008.04.03 -
Sophos 4.28.0 2008.04.03 Mal/EncPk-BW
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 Trojan/Spy.Goldun.adg
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.03 Packed/Upack
Webwasher-Gateway 6.6.2 2008.04.03 Trojan.Spy.Goldun.adg
weitere Informationen
File size: 77185 bytes
MD5: a367fcd86ba7734ce6d14593cdfde3b3
SHA1: dfb711bd19e3f8465322376f0904d0660bf60ac5
PEiD: WinUpack v0.39 final (relocated image base) -> By Dwing (c)2005 (h2)
packers: UPack
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=C682100681E94F092DEA01D0B1AD05006C868644

C:\WINDOWS\TEMP\BN7.tmp:

Datei BN7.tmp empfangen 2008.04.03 17:20:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 14/32 (43.75%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.3.3 2008.04.03 -
AntiVir 7.6.0.80 2008.04.03 TR/Dldr.Agent.mgh.11
Authentium 4.93.8 2008.04.03 -
Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.03 Downloader.Agent.AERC
BitDefender 7.2 2008.04.03 DeepScan:Generic.Malware.SFYd.F3BDC9F9
CAT-QuickHeal 9.50 2008.04.02 TrojanDownloader.Agent.mgh
ClamAV None 2008.04.03 -
DrWeb 4.44.0.09170 2008.04.03 Trojan.DownLoader.55595
eSafe 7.0.15.0 2008.04.01 suspicious Trojan/Worm
eTrust-Vet 31.3.5667 2008.04.03 Win32/VMalum.CKLG
Ewido 4.0 2008.04.03 -
F-Prot 4.4.2.54 2008.04.02 -
F-Secure 6.70.13260.0 2008.04.03 Trojan-Downloader.Win32.Agent.mgh
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.03 -
Ikarus T3.1.1.20 2008.04.03 Trojan-Downloader.Win32.Agent.leu
Kaspersky 7.0.0.125 2008.04.03 Trojan-Downloader.Win32.Agent.mgh
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 Spammer:Win32/Newacc.A
NOD32v2 2999 2008.04.03 -
Norman 5.80.02 2008.04.03 W32/Agent.FBEZ
Panda 9.0.0.4 2008.04.03 -
Prevx1 V2 2008.04.03 TROJAN.PANDEX
Rising 20.38.60.00 2008.04.03 -
Sophos 4.28.0 2008.04.03 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.03 -
Webwasher-Gateway 6.6.2 2008.04.03 Trojan.Dldr.Agent.mgh.11
weitere Informationen
File size: 46592 bytes
MD5: 8c67d17237aa64cded8e81c314b86f06
SHA1: 58ee104c8aee2726516c61cee31eff6b7841aae3
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DA1C6707007FE0B4B6C7004787F22C00181B2D60

C:\WINDOWS\system32\drivers\spools.exe:

Datei kann nicht hochgeladen werden.

Die Datei ist nach´m Neustart nicht mehr da, gestern als ich heruntergefahren habe war sie aber noch da !?

C:\Dokumente und Einstellungen\Administrator\cftmon.exe:

Datei cftmon.exe empfangen 2008.04.03 17:21:27 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 18/32 (56.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.3.3 2008.04.03 -
AntiVir 7.6.0.80 2008.04.03 TR/Dldr.iBill.AG
Authentium 4.93.8 2008.04.03 W32/Dropper.gen6
Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.03 Generic10.EQZ
BitDefender 7.2 2008.04.03 Trojan.Crypt.AS
CAT-QuickHeal 9.50 2008.04.02 TrojanDownloader.Small.uam
ClamAV 0.92.1 2008.04.03 -
DrWeb 4.44.0.09170 2008.04.03 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5667 2008.04.03 Win32/VMalum.CKHR
Ewido 4.0 2008.04.03 -
F-Prot 4.4.2.54 2008.04.02 W32/Backdoor2.YDC
F-Secure 6.70.13260.0 2008.04.03 Trojan-Downloader.Win32.Small.uam
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.03 -
Ikarus T3.1.1.20 2008.04.03 Trojan.Agent.AHFY
Kaspersky 7.0.0.125 2008.04.03 Trojan-Downloader.Win32.Small.uam
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 Backdoor:Win32/Koceg.gen!A
NOD32v2 2999 2008.04.03 Win32/TrojanDownloader.Small.OBC
Norman 5.80.02 2008.04.03 W32/Smalltroj.DQAO
Panda 9.0.0.4 2008.04.03 Trj/Agent.ILU
Prevx1 V2 2008.04.03 Heuristic: Suspicious Self Modifying File
Rising 20.38.60.00 2008.04.03 -
Sophos 4.28.0 2008.04.03 Mal/Generic-A
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.03 Trojan.DL.Ibill.B
Webwasher-Gateway 6.6.2 2008.04.03 Trojan.Dldr.iBill.AG
weitere Informationen
File size: 79570 bytes
MD5: 1ece24f1bbff801cbd73deb0079d7461
SHA1: 6e5426eed0801694b773f68936773a96a999a5ec
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=426CFDFCD245BF4736F501D35741AC00AB42ED21

C:\Dokumente und Einstellungen\Büro\cftmon.exe:

Datei cftmon.exe empfangen 2008.04.03 17:24:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 18/32 (56.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.3.3 2008.04.03 -
AntiVir 7.6.0.80 2008.04.03 TR/Dldr.iBill.AG
Authentium 4.93.8 2008.04.03 W32/Dropper.gen6
Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.03 Generic10.EQZ
BitDefender 7.2 2008.04.03 Trojan.Crypt.AS
CAT-QuickHeal 9.50 2008.04.02 TrojanDownloader.Small.uam
ClamAV 0.92.1 2008.04.03 -
DrWeb 4.44.0.09170 2008.04.03 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5667 2008.04.03 Win32/VMalum.CKHR
Ewido 4.0 2008.04.03 -
F-Prot 4.4.2.54 2008.04.02 W32/Backdoor2.YDC
F-Secure 6.70.13260.0 2008.04.03 Trojan-Downloader.Win32.Small.uam
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.03 -
Ikarus T3.1.1.20 2008.04.03 Trojan.Agent.AHFY
Kaspersky 7.0.0.125 2008.04.03 Trojan-Downloader.Win32.Small.uam
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 Backdoor:Win32/Koceg.gen!A
NOD32v2 2999 2008.04.03 Win32/TrojanDownloader.Small.OBC
Norman 5.80.02 2008.04.03 W32/Smalltroj.DQAO
Panda 9.0.0.4 2008.04.03 Trj/Agent.ILU
Prevx1 V2 2008.04.03 Heuristic: Suspicious Self Modifying File
Rising 20.38.60.00 2008.04.03 -
Sophos 4.28.0 2008.04.03 Mal/Generic-A
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.03 Trojan.DL.Ibill.B
Webwasher-Gateway 6.6.2 2008.04.03 Trojan.Dldr.iBill.AG
weitere Informationen
File size: 85660 bytes
MD5: ea51c29605e513f6c75c71fe47a912f0
SHA1: 5c9174ef9a152d4039670acbbe77987805d54609
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=426CFDFC9C913D7B4E0B014DB8A4AA00D364FC1A

C:\WINDOWS\SYSTEM32\WLCtrl32.dll:

Datei WLCtrl32.dll empfangen 2008.04.03 17:25:18 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 11/31 (35.49%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.3.3 2008.04.03 -
AntiVir 7.6.0.80 2008.04.03 TR/Agent.11264.71
Authentium 4.93.8 2008.04.03 -
Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.03 -
BitDefender 7.2 2008.04.03 Trojan.Kobcka.DK
CAT-QuickHeal 9.50 2008.04.02 -
ClamAV 0.92.1 2008.04.03 -
DrWeb 4.44.0.09170 2008.04.03 Trojan.DownLoader.54123
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5667 2008.04.03 -
Ewido 4.0 2008.04.03 -
F-Prot 4.4.2.54 2008.04.02 -
F-Secure 6.70.13260.0 2008.04.03 Trojan-Downloader.Win32.Mutant.ci
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.03 -
Ikarus T3.1.1.20 2008.04.03 -
Kaspersky 7.0.0.125 2008.04.03 Trojan-Downloader.Win32.Mutant.ci
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 TrojanDropper:Win32/Cutwail.Z
NOD32v2 2999 2008.04.03 -
Norman 5.80.02 2008.04.03 -
Panda 9.0.0.4 2008.04.03 Trj/BedeTres.Q
Prevx1 V2 2008.04.03 Generic.Malware
Rising 20.38.60.00 2008.04.03 Trojan.Win32.Undef.ems
Sophos 4.28.0 2008.04.03 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 -
VirusBuster 4.3.26:9 2008.04.03 Trojan.DR.Pandex.Gen.4
Webwasher-Gateway 6.6.2 2008.04.03 Trojan.Agent.11264.71
weitere Informationen
File size: 10752 bytes
MD5: 16a84352318ba1c28d77d6b577d1cff4
SHA1: f5adb1f36908b4021a15baa37597a41b6ef01a85
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4E91B26500D11FEC2A5F003B42F37D00191DE38F

**Sunny** · 03.04.2008, 16:56

Zitat:

Zitat von SpyGoldun

Auswirkungen:

• Änderung an der Registry
• Stiehlt Informationen

Zitat:

Zitat von Trojan.Pendex

Auswirkungen:

Trojan.Pandex is a Trojan horse that sends spam from a remote server and gathers email addresses from the compromised computer.

Zitat:

Zitat von Troj/Agent-GRO

Auswirkungen:

...a backdoor Trojan which allows a remote intruder to gain access and control over the computer.

Zitat:

Zitat von Mal/Generic-A

Auswirkungen:

describes an executable file that displays characteristics or behavior that are found exclusively within malware and are therefore blocked to prevent likely intrusion, disruption or damage to computer systems.

Ich denke das sollte auch dir klar machen was nun zu tun ist.

Vizemeister · 03.04.2008, 18:01

Also Windows neu aufsetzen ? Okay das wäre kein Problem.

Laut deinem Link oben kann ich also alle Dateien wie WordDokumente, Bilder usw ohne Gefahr sichern und dann später wieder auf den Computer übertragen ?

**Sunny** · 03.04.2008, 18:12

Zitat:

Zitat von Vizemeister

Laut deinem Link oben kann ich also alle Dateien wie WordDokumente, Bilder usw ohne Gefahr sichern und dann später wieder auf den Computer übertragen ?

Du kannst die Daten sichern, jedoch solltest du auch ausführbare Dateien wie z.B. Treiber.exe (Mainboard-Treiber) verzichten. Und diese im nachhinein neu herunterladen.
Sie könnten unter Umständen infiziert worden sein.

Vizemeister · 04.04.2008, 15:21

So, System ist neu aufgesetzt, private Daten übernommen und eingeschränkte Konten eingerichtet.

Erster Scan und HijackThis geben grünes Licht.

Dann danke ich dir mal für deine Hilfe

spools.exe (LogFile vorhanden)

Log-Analyse und Auswertung: spools.exe (LogFile vorhanden)