Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TR/Autorun.KT - Problem mit spoolsv.exe

TR/Autorun.KT - Problem mit spoolsv.exe


Log-Analyse und Auswertung: TR/Autorun.KT - Problem mit spoolsv.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 30.04.2008, 15:37   #1
Saphire
 
TR/Autorun.KT - Problem mit spoolsv.exe - Standard

TR/Autorun.KT - Problem mit spoolsv.exe


Hi liebes Board! Ich habe wohl einen Virus auf meinem Pc. Laut AntiVir ist es:

In der Datei 'F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Autorun.KT' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Das Problem ist, dass die Datei spoolsv.exe immernoch im Hintergrund läuft, und ich sie alleine nicht wegbekomme. Wenn ich den Prozess beende, ist er kurz darauf wieder da.

Vermutlich kam der Virus über mein Handy (SE P1i) auf den Pc. Denn im Stammverzeichnis des Handys fand ich eine "autorun.inf" (die nun gelöscht ist) mit folgendem Inhalt:

[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
shell\open\default=1

Außerdem war auf dem Handy auch ein Verzeichnis "RECYCLER". Habe mich nun doch dazu entschlossen, die Software auf dem Handy neu aufzuspielen (alles ist gelöscht), damit wäre das Problem wegen einer Neuinfektion wohl schon mal beseitigt...bleibt noch das Problem auf meinem PC...

Ich hoffe, ihr könnt damit ja was anfangen und mir helfen! Hier noch das HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:22:34, on 30.4.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\V0230Mon.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Desk\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.zonelabs.com/checkupdateweb.asp?ProductName=ZoneAlarm&ProductVersion=7.0.337.000&HU100=ZLN06606517985617-4901&SerialNumber=j5hvqhisiu3s4he7bhx644bu4g0&License=1&Language=DE&Query=Manual&OEM=4901
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [V0230Mon.exe] C:\WINDOWS\V0230Mon.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [PC Suite for Smartphones] "C:\Programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [mRouterConfig] "C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208894048421
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ach, ja. Bevor ichs vergesse...ich habe bei dem Versuch das Problem selbst zu beseitigen (weil ich es irgendwo im Internet gelesen habe) in der Registry die Untereinträge von MountPoint2 gelöscht (bis auf C, D und E). Habe vorher aber die Registry exportiert. Das einzige, was nun anders ist, ist das mein Startmenü ein wenig anders aussieht und bei rechten Mausklicks auf die Startleiste steht nun zusätzlich noch (Öffnen - Alle Benutzer und Explorer - Alle Benutzer). Gebracht hat es aber nichts

Grüße Saphire

Alt 30.04.2008, 21:36   #2
Chris4You
 
TR/Autorun.KT - Problem mit spoolsv.exe - Standard

TR/Autorun.KT - Problem mit spoolsv.exe


Hi,

versuche mal die Dateien online prüfen zu lassen:

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
VirusTotal - Free Online Virus and Malware Scan
F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
C:\WINDOWS\system32\spoolsv.exe

Poste die Ergebnisse mit Filename...

Führe Silentrunners aus:
Lade Silent Runner (Silent Runners - Downloading & Running the Script) (deutsche Anleitung (Silent Runners - Teil I & II - The Script (Deutsch) - HijackThis.de Support Board)) runter.
Wende es, entsprechend der bebilderten Anleitung, an.
Erstelle damit ein Logfile und poste es.

Führe Combofix aus poste das LOG:
Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Chris
__________________

__________________
Geändert von Chris4You (30.04.2008 um 21:47 Uhr)

Antwort

Themen zu TR/Autorun.KT - Problem mit spoolsv.exe
.dll, antivir, application, avira, bho, cdburnerxp, defender, explorer, firefox, helfen, hijack, hijackthis, hijackthis log, internet, internet explorer, log, monitor, mozilla, mozilla firefox, neu, problem, programm, programme, prozess, registry, shell32.dll, software, trojan, virus, windows, windows defender, windows xp


« Bitte um HiJackThis Logfile auswertung | Bitte mein hijacklog prüfen verdacht auf virus!!! »


Ähnliche Themen: TR/Autorun.KT - Problem mit spoolsv.exe


  1. Problem bei Autorun Programme,weiß nicht welche ich deaktivieren kann mit dem Programm von Microsoft
    Alles rund um Windows - 22.12.2013 (20)
  2. Problem mit win32.autorun.tmp
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (3)
  3. Fehlermeldung--> Autorun MFC Application hat ein Problem festgestellt und muss geschlossen werden.
    Alles rund um Windows - 19.09.2010 (6)
  4. Autorun blockiert C:\autorun.inf frisches System
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (6)
  5. bak.exe (mit autorun problem)
    Plagegeister aller Art und deren Bekämpfung - 28.05.2010 (3)
  6. TROJANER Flut! W32/Delf.EKEH, INI/AutoRun.CYI, WSCommCntr1.exe, BAT/Autorun.IZJ
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (3)
  7. Unsicher wegen spoolsv.exe
    Log-Analyse und Auswertung - 03.11.2009 (2)
  8. Problem mit BV:AutoRun-G[Wrm]
    Plagegeister aller Art und deren Bekämpfung - 12.10.2009 (5)
  9. autorun.inf: Trojan.Autorun-271 FOUND - USB-Stick
    Log-Analyse und Auswertung - 11.03.2009 (1)
  10. spoolsv.exe im Tempverzeichnis
    Log-Analyse und Auswertung - 07.12.2008 (21)
  11. spoolsv.exe - Problem
    Log-Analyse und Auswertung - 29.10.2008 (4)
  12. Warum will spoolsv.exe ins Internet?
    Plagegeister aller Art und deren Bekämpfung - 22.07.2008 (4)
  13. Problem mit vbs.Autorun.au
    Mülltonne - 28.06.2008 (0)
  14. spoolsv.exe lastet CPU zu 100% aus!
    Log-Analyse und Auswertung - 05.09.2006 (4)
  15. spoolsv.exe cpuauslastung 99%
    Plagegeister aller Art und deren Bekämpfung - 03.12.2005 (2)
  16. spoolsv.exe will ins Internet!
    Plagegeister aller Art und deren Bekämpfung - 26.07.2005 (7)
  17. spoolsv.exe verhindert Internetzugriff
    Plagegeister aller Art und deren Bekämpfung - 06.10.2004 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Autorun.KT - Problem mit spoolsv.exe - Hi liebes Board! Ich habe wohl einen Virus auf meinem Pc. Laut AntiVir ist es: In der Datei 'F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Autorun.KT' [trojan] gefunden. Ausgeführte Aktion: - TR/Autorun.KT - Problem mit spoolsv.exe...
Archiv
Du betrachtest: TR/Autorun.KT - Problem mit spoolsv.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131