|
bitte um auswertung des HJT-Files hallo. ich probiers jetzt nochmal, aber mit editierten HJT-File. :rolleyes: hab seit kurzem Internetverbindungs-Abbrüche, und zwar seit ich zonealarm firewall deinstalliert habe, weil sie sich nicht updaten ließe und deshalb nicht startete. seltsamerweise taucht eine datei (drsmartload.exe und dp.exe) immer wieder im system32 ordner auf. löschen zwecklos. hoffe ihr profis könnt mir da helfen und guckt euch mal mein HJT file an: Logfile of HijackThis v1.99.1 Scan saved at 18:51:51, on 17.07.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINNT\System32\ircomm2k.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\spool.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe D:\programme\active sync\WCESCOMM.EXE D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://www.971searchbox.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.971searchbox.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.971searchbox.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.971searchbox.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\programme\active sync\WCESCOMM.EXE" O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe O4 - Global Startup: tempweg.bat O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\programme\active sync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programme\active sync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programme\active sync\INETREPL.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/075ca0515b6fe816a519/netzip/RdxIE601_de.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - h**p://messenger.zone.msn.com/binary/Chess.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F349EE1E-E7AA-43FC-81DA-DDBA2AA5C4A8}: NameServer = 195.58.160.194 195.58.161.122 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINNT\System32\ircomm2k.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\spool.exe |
hast du deinen virenscanner schon mal gebraucht? :rolleyes: prüfe die datei ob sie virulent ist und lösch diese datei im abgesicherten modus: C:\WINNT\spool.exe wenn ja, den eintrag auch fixen: O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\spool.exe und wenn du mit diesen folgenden webseiten nix am hut hast dann auch fixen! R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://www.971searchbox.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.971searchbox.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.971searchbox.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.971searchbox.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank im abgesicherten bleiben, temporär aufräumen...temp ordner leeren, eventuell auch mit dem kleinen tool cclenaer aufräumen. dann nochmal scannen mit dem virenscanner und ein ergebnis posten. |
@Rock, ich glaube nicht das eine Bereinigung in diesem Falle noch Sinn macht: Zitat:
@Marty, lass die o.g. Datei mal bei Virustotal auswerten, und poste natürlich anschliessend das Ergebnis. Lies dir vielleicht zuätzlich "schonmal" folgenden LINK durch: http://www.trojaner-board.de/showthread.php?t=12154 Gruß Daniel |
:heulen: :heulen: :heulen: im falle des neuaufsetzens: welche antivirussoftware ist empfehlenswert? welche soll ich kaufen? reicht die windows-firewall aus? |
so. sorry hat ein bisschen länger gedauert, aber hier die auswertung der spool.exe: Antivirus Version Update Result AntiVir 6.35.0.24 07.23.2006 Worm/Sdbot.92160.106 Authentium 4.93.8 07.21.2006 W32/Sdbot.UAF Avast 4.7.844.0 07.21.2006 Win32:SdBot-3617 AVG 386 07.21.2006 no virus found BitDefender 7.2 07.22.2006 Backdoor.SDBot.59C8D7B8 CAT-QuickHeal 8.00 07.22.2006 Backdoor.SdBot.xd ClamAV devel-20060426 07.21.2006 Trojan.SdBot-1940 DrWeb 4.33 07.23.2006 Win32.HLLW.MyBot.based eTrust-InoculateIT 23.72.76 07.23.2006 no virus found eTrust-Vet 12.6.2305 07.21.2006 Win32/Petribot.UH Ewido 4.0 07.23.2006 Backdoor.SdBot.xd Fortinet 2.77.0.0 07.22.2006 W32/SDBot.G!tr.bdr F-Prot 3.16f 07.21.2006 security risk named W32/Sdbot.UAF F-Prot4 4.2.1.29 07.21.2006 W32/Sdbot.UAF Ikarus 0.2.65.0 07.23.2006 no virus found Kaspersky 4.0.2.24 07.23.2006 Backdoor.Win32.SdBot.xd McAfee 4812 07.21.2006 W32/Sdbot.worm.gen.g Microsoft 1.1508 07.23.2006 no virus found NOD32v2 1.1675 07.23.2006 a variant of IRC/SdBot Norman 5.90.23 07.21.2006 W32/SDBot.AFSY Panda 9.0.0.4 07.23.2006 W32/Sdbot.HSF.worm Sophos 4.07.0 07.23.2006 W32/Sdbot-CAR Symantec 8.0 07.23.2006 no virus found TheHacker 5.9.8.179 07.21.2006 no virus found UNA 1.83 07.21.2006 Backdoor.SdBot VBA32 3.11.0 07.22.2006 Backdoor.Win32.SdBot.xd VirusBuster 4.3.7:9 07.22.2006 no virus found hilft das weiter? danke Marty |
Zitat:
Der BackdoorTrojaner (spool.exe!) kann/hat folgendes anstellen/angestellt: * Ermöglicht Dritten den Zugriff auf den Computer * Lädt Code aus dem Internet herunter * Installiert sich in der Registrierung * Nutzt bekannte Schwachstellen aus Daher nimm meinen Rat an, und nimm den Rechner schnell vom Netz und setzte neu auf...:teufel3: Sorry, Daniel |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board