HijackThis Log / csmss.exe / spoolsvr32.exe

DonkeyS · 08.11.2004, 17:39

Heya,

ich habe mir ende letzer Woche einige lästige Pests eingefangen. Mit diversen Programmen (AntiVir, AntiTrojan, PestPatrol, Killbox+escan, CWShredder, SpyBots) war es mir möglich, fast alle Verunreinigungen zu entfernen. Bei einer Sache allerdings komm ich echt ins Schwitzen:
Die csmss.exe läßt sich zwar löschen, kommt aber auch gern mal wieder.
In der Registry verweist die Spoolsvr32.exe auf die csmss.exe.
Die habe ich auch schon x mal im abgesicherten Modus (ohne Systemwiederherstellung) entfernt.

Hier mal das

Logfile of HijackThis v1.98.0
Scan saved at 16:17:38, on 08.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
D:\ Sich\Security\HijackThis\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [RouterControl] C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exeO4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...92be6d71d48cd1
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099916451078

Ich habe den Prozess csmss.exe beendet, bevor ich das Log erstellt habe.
der Verweis steht noch immer drin.

Hört sich alles nach einer Neuinstallation an, ich will aber nicht so schnell aufgeben. Deshalb bin ich für Vorschläge aller Art offen, thx

cacatoa · 08.11.2004, 18:33

Guckst Du mal
hier.
Außerdem im abgesicherten Modus, bei deaktivierter Systemwiederherstellung folgendes fixen:
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...992be6d71d48cd1
Ansonsten ist das Logfile sauber.
Empfehlen würde ich dir mal einen eScan ebenfalls im abges. Modus und deakt. Syst.Wdhstlg.
Bitte poste Deine Ergebnisse hier rein.
cacatoa

DonkeyS · 08.11.2004, 19:49

Zitat:

Zitat von cacatoa

Guckst Du mal
hier.
Außerdem im abgesicherten Modus, bei deaktivierter Systemwiederherstellung folgendes fixen:
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...992be6d71d48cd1

Beim Versuch, die 016 zu fixen kam eine Fehlermeldung (ERROR #75)
Fehler beim Zugriff auf Pfad/Datei

Zitat:

Zitat von cacatoa

Ansonsten ist das Logfile sauber.
Empfehlen würde ich dir mal einen eScan ebenfalls im abges. Modus und deakt. Syst.Wdhstlg.
Bitte poste Deine Ergebnisse hier rein.
cacatoa

Hier denn Log:

Logfile of HijackThis v1.98.0
Scan saved at 19:16:09, on 08.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
D:\ Sich\Security\HijackThis\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [RouterControl] C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...92be6d71d48cd1
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099916451078

Das eScan-Log ist echt lang. Ich bin nicht sicher, ob ich das hier posten soll. Es war ohne Befund.

cacatoa · 08.11.2004, 21:35

Date mal HJT auf die Version 1.98.2 auf und schick ein neues Log file.
Wenn eScan ohne BEfund war, na ja, dann gut, wobei ich nicht glaube, daß er eben
den übersehen haben soll. (schau mal in dem Link unter wiederherstellen)
Außerdem ist die O 16 offenbar nicht vollständig, deshalb wird der Pfad nicht gefunden. Wir müßten die komplette Adresse ohne .... haben.
cacatoa

DonkeyS · 08.11.2004, 21:52

Zitat:

Zitat von cacatoa

Date mal HJT auf die Version 1.98.2 auf und schick ein neues Log file.
Wenn eScan ohne BEfund war, na ja, dann gut, wobei ich nicht glaube, daß er eben
den übersehen haben soll. (schau mal in dem Link unter wiederherstellen)

Beim ersten mal scannen mit eScan waren einige Funde vorhanden. die habe ich nach durchsicht einiger anderer Beiträge entfernen können. Allerdings fällt mir auf, dass beim letzten eScan-Durchlauf 32 total errors waren. einige Trojaner wurden auch doppelt angezeigt.

Zitat:

Zitat von cacatoa

Außerdem ist die O 16 offenbar nicht vollständig, deshalb wird der Pfad nicht gefunden. Wir müßten die komplette Adresse ohne .... haben.
cacatoa

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -http://public.windupdates.com/get_file.php?bt=ie&p=742ae6aabe7d3a41bcf4a5afcbb90dcf3 4dad1f7e20e580a8628a9310ebdbc79ff97ebe1e10 940b1a7ee84d6b88713ffc07adc36a6c198daa84af66 cad27b7bddb:0bcd3b08a0018c359992be6d71d48cd1

Bei Bedarf poste ich gern noch die Logs

cacatoa · 08.11.2004, 21:55

Hast du auf den Link von Sophos mal geschaut?

chaosman · 08.11.2004, 22:33

@DonkeyS
das hier ist er wonach wir suchen

http://www.trendmicro.com/vinfo/viru...OJ_STRTPAGE.IX
und hier kannst du kannst du schauen, diese .DLL auf dein system suchen und in den abgesicherten modus lösche
http://pestpatrol.com/pestinfo/t/tro...artpage_ix.asp
http://research.pestpatrol.com/Analy...-30_101359.asp

hoffentlich ist das die lösung, muss eine sehr unangenehmer sein

chaosman

cacatoa · 08.11.2004, 22:39

@ chaosman:
Thx,
ich war auf dem Trip hier:
http://www.sophos.de/virusinfo/analy...ojagentco.html
weil der eine "csmss.exe" erstellt

DonkeyS · 08.11.2004, 22:58

Zitat:

Zitat von chaosman

@DonkeyS
das hier ist er wonach wir suchen

http://www.trendmicro.com/vinfo/viru...OJ_STRTPAGE.IX
und hier kannst du kannst du schauen, diese .DLL auf dein system suchen und in den abgesicherten modus lösche
http://pestpatrol.com/pestinfo/t/tro...artpage_ix.asp
http://research.pestpatrol.com/Analy...-30_101359.asp

hoffentlich ist das die lösung, muss eine sehr unangenehmer sein

chaosman

Ja, sie ist in der Tat sehr unangenehm, denn deine Links haben 0 Treffer ergeben. Danke sag ich trotzdem artig :-)

@cacatoa: ich hab ja noch die Möglichkeit, eine neue eScan-/HJT-Log mit dieser csmss zu erstellen, die ist ja wieder da.
Oder ich laß die mal Online prüfen. Wo war das doch gleich? Schlimm. Mir schwirren so viele Testprogramme im Kopf rum, daß ich langsam den überblick verliere...
Im Board mit nem PII 300 bei den langen Seiten pfff

Hab grad Pestpatrol laufen lassen, und nu dachte ich, ich hab den Wurm schon 5 mal entfernt, jetzt weiß ich er ist es: Worm.Win32.Dedler.rWorm.Win32.Dedler.r
Aber wie krieg ich den weg? Bei PestPatrol heißt es, das Programm macht es. Richtig. Immer wieder...

HijackThis Log / csmss.exe / spoolsvr32.exe

Log-Analyse und Auswertung: HijackThis Log / csmss.exe / spoolsvr32.exe