Probleme mit spoolsv32.exe
 

Huhu,

hab ein kleines Problemchen.

Also hier erstmals die Logs:

Logfile of HijackThis v1.99.1
Scan saved at 10:48:38, on 28.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\ALGU.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\SPOOLSV32.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Jenny\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: ATDP Class - {E3D3AFEE-2172-4ef5-8509-1638AFFF0374} - C:\WINDOWS\atlass.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ALGU] C:\WINDOWS\System32\ALGU.EXE
O4 - HKCU\..\Run: [SPOOLSV32] C:\WINDOWS\System32\SPOOLSV32.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FC5A94E-9FDF-4084-8CD9-9363811F7794}: NameServer = 195.50.140.250 145.253.2.174
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe



Die Fett-markierte Datei fixe ich und lösche sie manuel aber sie ist nach jedem WIN-Neustart wieder da.

BITTE, helft mir, bin echt am verzweifeln. Bin seit 3 stunden dran und kein ende im sicht :(

Danke schon im vorraus!

Spoolsv32.exe ist ein Wurm
WORM_RBOT.SW (kopiert sich als SPOOLSV32.EXE in den Ordner System oder System32, nutzt Sicherheitslücken aus MS03-026 und MS04-011 und MS03-007 und MS01-059 und MS02-061 aus, beendet RegEdit, stiehlt Windows Produkt-ID, stiehlt Schlüssel verschiedener Spiele) vom System zu entfernen, zu löschen (Trend Micro, englisch).

lass mal einen Antiviren Scanner im abgesicherten Modus durchlaufen

@Paul7338]
FULL ACK!

Quatsch! Gegen Backdoors ist nur folgende Vorgehenswese wirksam:

1.PC vom Internet trennen
2.Neu aufsetzten inkl alle Patches und Updates: Anleitung
3 Vernünftig absichern:Info
4.Alle Passwörter wechseln.
Noch Details:
Ich habe Virus...
10 Immutable Laws...

Formatieren kann man natürlich auch...

Aber mein Freund hatte auch mal Spoolsv32.exe und er hat den wegbekommen.Er hatte danach auch keine Probleme mehr mit Malware.
Und ich glaube das er keine andern Windows datein ändert!

@Paul7338
Im Fall eines Backdoors muss man formatieren.
Der glaubt daran , du auch , ich aber nicht:
..und weiter: http://www.microsoft.com/technet/com...mt/sm0504.mspx
Wenn du der Empfehlung von Security Program Manager von Microsoft widersprechen möchtest - bitte schön und viel Spaß daran.

Hinsichtlich bei Backdoor Kompromittierung hat Rene-gad vollkommen Recht, aber es handelt imho nicht um einen Backdoor sondern z.B. um den Trojan-Clicker.Win32.Spyre.b. oder eine Version von StartPage.

@ Cappu

Führe zunächst dies aus:

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

@Cidre
Why denn? Paul7338 hat imho was Richtiges gefunden: http://www.trendmicro.com/vinfo/viru...T%2ESW&VSect=T ;)

Rene-gad du weisst doch selbst, dass Namen nur Schall und Rauch sind. Wie ich eben im anderen Thread schon geschrieben habe, benutzen eben mehrere Malware Arten dieselben Dateinamen.;)
http://startup.iamnotageek.com/srch-...20service.html

Siehe auch deine Antwort hier -> http://www.trojaner-board.com/showth...987#post127987

@Cidre
Eben ;). Aber:
a) das System von Cappu weist keine Spuren von SPs aus.
b)nn bereits kompromittiertes System SP und Patches aufzuspielen ist Unsinn. ERGO: Format C:\ die einzige richtige Lösung - egal was für Malware drauf ist.
Keiner kann mir hindern, heute schlaue zu sein, als ich gestern war. :blabla:

Recht hast du, aber trotzdem halte ich eine genaue Analyse für sinnvoll.;)

http://www.mainzelahr.de/smile/froehlich/klatsch.gif

Wow Leute, danke das ging ja super schnell ABER was soll ich nun machen ?

Erst escan laufen lassen oder sofort formatieren?

Zuviele Antworten, zuviele vorschläge, bin nun durcheinander *g*

Der angegebene (WORM_RBOT.SW) ist es auf keinen Fall, man muss sich nur mal die Registry-Einträge anschauen.

eScan

Erstmal eScan AntiVirus, wie beschrieben anwenden und dann sehen wir weiter.;)

EDIT:
Haui45 war schneller.

Hm, also er findet paar sachen aber muss ich den das Programm registrieren um die zu löschen ? :(

Postest du von einem Zweit PC?!
Wenn nicht, dann umgehend in den abgesicherten Modus wechseln und scannen.

Die Malware Dateien kannst du auch selbst löschen, das ist nicht das Problem! Versorge uns aber zuerst mit den Infos.