Letztes Wochenende hatte ich den Trojan.Win32.Spooner.f auf meiner Festplatte.
Ich bereinigte die Datei, ließ den Virenscan nochmal drüber laufen – alles in Ordnung. Hijackthis zeigte bis auf ein paar (3) gelbe Ausnahmen auch alles grün.

Dieses Wochenende meldete der automatische Virenscan den selben Trojaner wieder.
Wieder desinfizieren der Dateien.
Und (man hat ja neu dazugelernt…) eScan im abgesicherten Modus:

Sat Sep 11 16:41:01 2004 => ***** Scanning complete. *****
Sat Sep 11 16:41:01 2004 => Total Number of Files Scanned: 49501
Sat Sep 11 16:41:01 2004 => Total Number of Virus(es) Found: 4
Sat Sep 11 16:41:01 2004 => Total Number of Disinfected Files: 0
Sat Sep 11 16:41:01 2004 => Total Number of Files Renamed: 0
Sat Sep 11 16:41:01 2004 => Total Number of Deleted Files: 0
Sat Sep 11 16:41:01 2004 => Total Number of Errors: 1
Sat Sep 11 16:41:01 2004 => Time Elapsed: 00:45:13
Sat Sep 11 16:41:01 2004 => Virus Database Date: 2004/09/11
Sat Sep 11 16:41:01 2004 => Virus Database Count: 103785
Sat Sep 11 16:41:01 2004 => Scan Completed.

Virus Log Information:
File C:\Programme\mdsc5m\Print.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\mdsc5m\uninst.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\mdsc5m\Www.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Temp\~GL_3841.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Wie “not-a-virus”? Also doch keiner? Wieso führt er’s dann auf? Und wo hätte ich denn eine „Action taken“ sollen? Und der eine Error? Fragen über Fragen…


Hijackthis im abgesicherten Modus:

Logfile of HijackThis v1.98.2
Scan saved at 16:51:12, on 11.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\AntiVirus\AVKPOP.EXE"
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Cloudmark SpamNet for OE.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05b74836...dxIE601_de.cab


hijackthis.de kennzeichnet nur den Spam-Filter als unbekannt, ansonsten alles grün...
Heißt das jetzt, mein kleines Notebook und ich – wir sind (mal wieder) sauber?
Abgesehen von eScan hab ich ja alles so gemacht wie letztes Wochenende. (Und bei eScan bin ich mir ja nich sicher, ob da überhaupt irgendwas gemacht wurde…) Und trotzdem war das Trojan.Ding dieses WE wieder da. Wer oder was sagt mir, dass ich ihn spätestens nächstes WE (wie auch immer) nicht schon wieder (oder noch immer?) zu Besuch habe?

Ich bin ja von Natur aus eher skeptisch…

Aber da ich mich da ja nicht mal annähernd so gut auskenne wie manche Leute hier dachte ich, ich frag einfach mal. Ob sich das ganze hier nicht mal irgendwer durchlesen – und seinen Senf dazu abgeben – könnte…

Bitte/Danke.

Jones

Mach das Log mal im normalen Modus, damit man alle prozesse sieht und entpacke HJT in einen eigenen Ordner.

Dachte mir schon, dass da im abgesicherten etwas wenig angezeigt wird...

Logfile of HijackThis v1.98.2
Scan saved at 18:58:00, on 11.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirus\AVKService.exe
C:\Programme\AntiVirus\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AntiVirus\AVKPOP.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Cloudmark\SpamNet\OE\snoe.exe
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\AntiVirus\AVKPOP.EXE"
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Cloudmark SpamNet for OE.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05b74836...dxIE601_de.cab

Hallo J.Jones,

Dein Logfile sieht - meiner Ansicht - gut aus.

- besuche bitte www.windowsupdate.com und lade Dir das aktuelle Service Pack runter, um die Sicherheit Deines Betriebssystems zu erhöhen.

- Du kannst folgende Einträge noch mit Hijack This im abgesicherten Modus fixen:

O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - Startup: Cloudmark SpamNet for OE.lnk = ?

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

- downloade hier Spybot-Search &Destroy 1.3, scanne damit Deinen Rechner und laß eventuelle noch vorhandene Probleme beheben.

- ein Browserwechsel kann Problemen beim Surfen im Netz vorbeugen: meine Signatur unter TI Hijacker-Rubrik ---> Vorbeugung.

SD