Virus?Backdoorprog?Dialer?

#0
21.08.2005, 20:31
...neu hier

Beiträge: 1
#1 Hallo,
ich hab seit einiger Zeit ein Problem, immer wird mir angezeigt, das sich die Datei spoolvc.exe und sysdat.exe versuchen ins Netz einzuwählen.

Ich hab mal ne Log-file gemacht, wo ich die beiden Files, die mir nicht geheuer sind rot unterlegt habe.

Logfile of HijackThis v1.99.1
Scan saved at 23:42:18, on 17.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\sysdat.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\spoolvc.exe
C:\Programme\Ashampoo UnInstaller Suite\UIWatcher.exe
C:\Programme\AIM95\aim.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Summerspring\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kilahu.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Gebt Das Hanf Frei *ggg*
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MS Spool] spoolvc.exe
O4 - HKLM\..\RunServices: [MS Spool] spoolvc.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo UnInstaller Suite\UIWatcher.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124305603390
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11111DAB-BF31-4341-B6C3-EEA37A6B5AA3}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{39A47DA7-029E-4226-B43F-18BE053929B5}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{11111DAB-BF31-4341-B6C3-EEA37A6B5AA3}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{11111DAB-BF31-4341-B6C3-EEA37A6B5AA3}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\SUMMER~1\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: change me please (virus) - Unknown owner - C:\WINDOWS\sysdat.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


So, vorab mal vielen Dank für Eure mühe.

gruß
bjorntiger
Seitenanfang Seitenende
21.08.2005, 21:15
Member
Avatar Gool

Beiträge: 4730
#2 Bei Google konnte ich über die spoolvc.exe kaum etwas herausfinden, allerdings über die sysdat.exe:
http://www.sophos.de/virusinfo/analyses/w32rbotgh.html

Fixe mit HJT (Starten -> "Scan" -> Häkchen vor Eintrag -> "fix checked")
O4 - HKLM\..\Run: [MS Spool] spoolvc.exe
O4 - HKLM\..\RunServices: [MS Spool] spoolvc.exe
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab

Deaktiviere die Systemwiederherstellung
Start -> Systemsteuerung -> System -> Systemwiederherstellung

Lade Dir das Programm Killbox herunter und entpacke es.

Starte den PC im abgesicherten Modus.
Start -> Systemsteuerung -> Verwaltung -> Dienste
Dort den Service "change me please (virus)" deaktivieren (falls er gestartet ist, was ich nicht glaube, den Service beenden)

Starte Killbox. Aktiviere die Option "Delete on Reboot". Füge in das Eingabefeld folgendes ein und bestätige jeweils mit klick auf das weiße Kreuz im roten Feld. Die Abfrage, ob jetzt neu gestartet werden soll, erst nach der letzten Datei mit JA bestätigen.

C:\WINDOWS\sysdat.exe
C:\WINDOWS\System32\spoolvc.exe

PS wird neugestartet und die Dateien werden gelöscht.

Lösche sofern vorhanden:
C:\Program Files\system64.dat bzw. C:\Programme\system64.dat

Lade Dir eScanCheck herunter und scanne Dein System. Teile uns das Ergebnis mit (wie auf der Seite beschrieben).

Update umgehend Dein System auf ServicePack2 inklusive aller weiteren verfügbaren Patches.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende