Trojaner-Board - Hilfe, sonst muss ich ausziehen...

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe, sonst muss ich ausziehen... (https://www.trojaner-board.de/11513-hilfe-ausziehen.html)

Hilfe, sonst muss ich ausziehen...

...na ja, vielleicht auch nicht ganz so schlimm. (hoffe ich)

Ich war mit dem Laptop meiner Mitbewohnerin im Internet und habe mir dabei wohl einen Virus/Trojaner etc. eingefangen.

Ich bin ziemlicher Anfänger auf diesem Gebiet, aber ich habe es schonmal hinbekommen, dass ich Hijackthis laufen gelassen habe und auch ein Logfile erstellen lies. Et voila:

Logfile of HijackThis v1.99.0
Scan saved at 02:46:13, on 02.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sony\VAIO Media Music Server\SSSvr.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Sony\HotKey Utility\HKserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\Sony\HotKey Utility\HKWnd.exe
C:\Program Files\PowerPanel\Program\PcfMgr.exe
C:\Program Files\Common Files\Sony Shared\VAIO Media Platform\sv_httpd.exe
C:\Program Files\Common Files\Sony Shared\VAIO Media Platform\UPnPFramework.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
c:\r.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Guelsi\My Documents\hijackthis199\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8d224a8639d0d3cd94106bd72168312a\update\update.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liga-manager-easy.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sony.com/vaiopeople
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEHlprObjClass - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Program Files\Kensington\MouseWorks\IE_SPY.DLL (file missing)
O2 - BHO: (no name) - {E3215F20-3212-11D6-9F8B-00D0B743919D} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [VAIO Recovery] C:\Windows\Sonysys\VAIO Recovery\PartSeal.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.sony.com/vaiopeople
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\COMMON~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server - Sony Corporation - C:\Program Files\Sony\VAIO Media Music Server\SSSvr.exe
O23 - Service: VAIO Media Music Server (HTTP) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Media Platform\sv_httpd.exe
O23 - Service: VAIO Media Music Server (UPnP) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Media Platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server - Sony Corporation - C:\Program Files\Sony\Photo Server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Media Platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Media Platform\UPnPFramework.exe

Unter C: entsteht laufend eine Datei namens "r.exe" und auf dem Desktop erscheint statt des regulären Backgrounds so ne blaue "Securityanzeige"-Websíite, die mich darauf hinweist, dass ich Spyware auf dem PC habe...

Spybot und Adaware habe ich laufen lassen, avast läuft ebenfalls und hat auch schon was gefunden, aber egal was ich lösche, beim nächsten Neustart wieder der blaue Hintergrund und die "r.exe"

Falls mir jemand helfen kann, wäre das super. Ich wills mir nicht gleich zum neuen Jahr mit der Mitbewohnerin verscherzen, die jetzt schon ziemlich angenervt ins Bett gegangen ist.

Vielen Dank,
Uwe

Hallo,
das sieht gar nicht gut aus, aber führe trotzdem mal folgendes aus:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

btw:
Ich glaub du musst wohl oder übel ausziehen. :lach:

Na,wenn man es noch mit Humor nimmt...

Sieht nach Gaobot aus!

C:\WINDOWS\System32\spoolsrv32.exe

Lass die Datei mal hier überprüfen http://virusscan.jotti.org/de

Kann man sich den escan ggf ersparen...

Um diese Zeit schnelle Hilfe. Ich bin begeistert.

Hier das Ergebnis:
Service load: 0% 100%

File: spoolsrv32.exe
Status: INFECTED/MALWARE
Packers detected: None

AntiVir No viruses found (0.27 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender Trojan.Small.CR (0.32 seconds taken)
ClamAV No viruses found (0.36 seconds taken)
Dr.Web Trojan.Inject (0.49 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Small.cr (0.63 seconds taken)
mks_vir Trojan.Startpage.Waxiz.A2 (0.20 seconds taken)
NOD32 Win32/Small.CR (0.37 seconds taken)
Norman Virus Control No viruses found (0.38 seconds taken)

Und nu ?

O.K.

Beachte das,was Cidre bereits geschrieben hat,geh genau nach der Anleitung vor,der Scan dauert etwa 1-2 Stunden,und poste dann das Ergebnis,wie beschrieben!

Gruss

Zitat:

Zitat von HerrKautz

O.K.

Beachte das,was Cidre bereits geschrieben hat,geh genau nach der Anleitung vor,der Scan dauert etwa 1-2 Stunden,und poste dann das Ergebnis,wie beschrieben!

Gruss

Der Scan läuft jetzt auf dem Laptop. Werde das Ergebnis posten, sobald er durch ist.

Was passiert im schlimmsten Fall ? "Nur" format c: ? Das würde vermutlich schon zu einer mittelschweren Katastrophe führen...oder kann man das evtl. auch anders beheben ?

Das kommt drauf an was gefunden wird,wenn es bei dem Trojan Downloader bleibt,was ich nicht glaube,kann man es so beheben,sollte sich aber noch ein Backdoor auf dem System befinden,werdet ihr nicht um ein Format c:
herumkommen,du kannst dir schonmal das durchlesen:

http://www.trojaner-board.de/showpos...28&postcount=2

edit:

Sehe gerade der Trojaner is ein Backdoor:

http://www.sophos.de/virusinfo/analy...ojsmallby.html

Aber warte noch den Scan ab...

Stimme da HerrKauz zu.
Aufgrund dieser Datei c:\r.exe ist davon auszugehen,dass du zumindest diesen auf dem System hast.Was ansich zwar unschön ist aber nicht unbedingt Format C: bedeutet.
Aber warten wir lieber erst mal das Ergebnis von Escan ab.

cronos

das Problem ist nicht mal der unbedingt,sondern spoolsrv32.exe >

http://www.sophos.de/virusinfo/analy...ojsmallby.html

# Ermöglicht Dritten den Zugriff auf den Computer

Format c: :balla:

Der Scan läuft noch...soweit ich weiß gibt es auf dem Laptop allerdings kaum sicherheitsrelevante Dinge. Sie hat da kein Homebanking oder sowas betrieben, sondern lediglich eMails empfangen/gesendet.

Ist es trotzdem zwingend notwendig zu formatieren. Ich habe mir gerade mal die Links angesehen, was bei einem befallenen System zu tun ist...das wird schwer, ihr das zu verkaufen...

Und ich war gerade mal 5 Minuten online :heulen:

Klar-hast völlig recht.
Wenn dieser drauf ist gehört das System plattgemacht.Hatte den Log nur überflogen, da ja schon auf den Escan hingewiesen wurde.Mir fiel halt auf die schnelle der von mir genannte Pfad auf.
Aber wie gesagt-warten wir den Escan ab.

Cronos,

war nur der Hinweis :heilig: !

Cottee,

nein,wenn es so ist,kann man dem Rechner kein Vertrauen mehr schenken,er gehört sozusagen nicht mehr euch,aber warten wir mal das Ergebnis ab.

Ich geh nu mal in die Heia,aber es sind ja noch einige da,die dir dann sagen,was zu machen ist ;)

Nacht! :knuddel:

Zitat:

Zitat von HerrKautz

Vielen Dank schonmal für die Hilfe...und gute Nacht.

Nachdem was ich das so überfliege bei eScan sieht es düster aus....

Sollte wirklich die Worst-Case-Situation eintreten, solltest du neben dem von HerrKautz geposteten Link zum sicheren Neuaufsetzen des Systems auch folgendes abarbeiten

Zitat:

Zitat von Haui45

Lutz über Datensicherung
Pflichtlektüre
Über die Entfernung von Schädlingen

So, hier dann mal das (wohl) niederschmetternde Ergebnis:

File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Small.yx" Virus.

File C:\WINDOWS\System32\spoolsrv32.exe infected by "Trojan.Win32.Small.cr" Virus.

File C:\WINDOWS\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus.

File C:\WINDOWS\System32\Blflld32.dll infected by "Backdoor.Win32.Padodor" Virus.

File C:\WINDOWS\System32\Ogikjj32.exe infected by "Backdoor.Win32.Padodor.al" Virus.

File C:\WINDOWS\System32\spoolsrv32.exe infected by "Trojan.Win32.Small.cr"

File C:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan.Win32.Small.cr" Virus.

File C:\WINDOWS\System32\txfdb32.dll infected by "Trojan.Win32.Small.cr" Virus.

File C:\RECYCLER\S-1-5-21-121841087-2126091842-548644564-1005\Dc80.exe infected by "Trojan.Win32.LowZones.y"

File C:\RECYCLER\S-1-5-21-121841087-2126091842-548644564-1005\Dc82.exe infected by "Trojan-Downloader.Win32.Small.lx"

Ich glaube, das war alles...Kann ich noch irgendwas machen, bevor ich ihr gleich nach dem Aufstehen offenbaren muss, dass sie format c: machen muss ?