Sehr merkwürdig...

von **Nikita** am 10.09.2005, 17:45

Hallo@DjSilverbell

Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht vorher!), dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile ist der Befehl "shutdown -a" einzugeben und mit OK zu bestätigen.

Start-->Ausfuehren--> cmd

kopiere oder schreibe rein:

shutdown -a

HijackThis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://nikita.eddys-domain.de/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen

von **Nikita** am 10.09.2005, 17:49

ja, es ist ein Diagnosetool und ich habe noch andere auf lager

von **Nikita** am 10.09.2005, 18:03

du hast eine shutdown.exe aktiv

deaktiviere bitte die exe im Taskamanger.

dann;

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\shutdown.exe

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten
+
•Stinger
http://nikita.eddys-domain.de/antivirenfree.html
+
bitte abarbeiten+ berichten
http://nikita.eddys-domain.de/Artikel/T ... vtool.html

von **Nikita** am 10.09.2005, 18:18

•Stinger (berichte vom scan)
http://nikita.eddys-domain.de/antivirenfree.html
+
bitte abarbeiten+ berichten
http://nikita.eddys-domain.de/Artikel/T ... vtool.html

von **Nikita** am 10.09.2005, 18:27

http://vil.nai.com/vil/stinger/

http://nikita.eddys-domain.de/Artikel/T ... lti_AV.exe
Laden und entzippen - auf dem Desktop erscheint ein Symbol
Start - mein Computer - C:\
es erscheint ein Menue:

klicke "1" nun beginnt der Scan von Sophos

klicke "2" , nun beginnt der Scan von Trend Micro

klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

klicke "4", um das Menue zu verlassen

klicke "5", damit der Rechner bootet und die gefundenen Viren geloescht werden.

von **Nikita** am 11.09.2005, 00:43

Jep, aus Versehen Thread geloescht,...aber warum postest du auch doppelt.

Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " Print Spool Handler (Print Spooler) - Unknown owner" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
" Print Spool Handler (Print Spooler) - Unknown owner" beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
die Datei in einen beliebigen Ordner entpacken = dann "regsrch.vbs" doppelklicken => es öffnet sich ein Textfenster in das Du den Suchstring

spooler.exe

hineinkopieren kannst = OK drücken, und nach beendeter Suche zeigt das Tool die gefundenen Registryschlüssel und -werte an. Diese dann hierher in den Thread posten.

Lade die datFind.bat :
http://nikita.eddys-domain.de/bat/datFind.bat

-Suche auf dem Desktop die datfind.bat
- doppelklick auf die bat-Datei , der Editor öffnet sich
- nun kopiere zusammen mit dem Pfad ca. 20 Tage ab und in deinen Thread.
-das DOS-Fenster ist geöffnet, klicke "enter"
-nun wird sich wieder der Editor öffnen, kopiere ca. 20 Tage (ist nach Datum geordnet ) ab und kopiere es in deinen Thread.

(4 Logs)

von **Nikita** am 11.09.2005, 10:23

du hast einen "Besucher" einen Backdoor, der ueber die FTP-Server vollen Zugriff auf das System hat.

du musst alle 4 Logs schicken, die in der bat-Datei sind, du hast nur 2 gepostet, also noch einmal, nach dem Loeschen mit der Killbox postest du alle 4

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\TFTP3576
C:\WINDOWS\system32\TFTP3940
C:\WINDOWS\system32\spooler.exe
C:\WINDOWS\system32\TFTP2568
C:\WINDOWS\system32\TFTP2556
C:\WINDOWS\system32\TFTP1404
C:\WINDOWS\system32\TFTP2816

PC neustarten und noch einmal alle 4 Logs posten

von **Nikita** am 11.09.2005, 10:25

•Download Registry Search Tool :

kopiere rein:

Print Spool Handler

danach:

Print Spooler

hineinkopieren kannst = OK drücken, und nach beendeter Suche zeigt das Tool die gefundenen Registryschlüssel und -werte an. Diese dann hierher in den Thread posten.

von **DjSilverbell** am 11.09.2005, 10:58

Jaa.... ein Backdoorprgramm hat Antivir auch schonmal gefunden... hab da eigentlich auf überschreiben und löschen geklickt... hat dann wohl nicht geklappt

Aber wie geht das denn über ftp?
Hab zwar nen FTP-Server, aber auf den bekomme ich keinen Zugriff mehr... mein Explorer will nicht mehr drauf zugreifen.

Regsearch:

Print Spool Handler:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Print Spool Handler" 11.09.2005 10:34:57

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"DeviceDesc"="Print Spool Handler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Print Spooler]
"DisplayName"="Print Spool Handler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"DeviceDesc"="Print Spool Handler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Print Spooler]
"DisplayName"="Print Spool Handler"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"DeviceDesc"="Print Spool Handler"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Print Spooler]
"DisplayName"="Print Spool Handler"

Print Spooler:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Print Spooler" 11.09.2005 10:35:52

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"Service"="Print Spooler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PRINT_SPOOLER\0000\Control]
"ActiveService"="Print Spooler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Print Spooler\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Print Spooler\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"Service"="Print Spooler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Print Spooler\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"Service"="Print Spooler"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PRINT_SPOOLER\0000\Control]
"ActiveService"="Print Spooler"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Print Spooler\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Print Spooler\Enum]

Nach dem Neustart:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Print Spool Handler" 11.09.2005 10:47:30

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"DeviceDesc"="Print Spool Handler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Print Spooler]
"DisplayName"="Print Spool Handler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"DeviceDesc"="Print Spool Handler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Print Spooler]
"DisplayName"="Print Spool Handler"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"DeviceDesc"="Print Spool Handler"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Print Spooler]
"DisplayName"="Print Spool Handler"

Print Spooler:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Print Spooler" 11.09.2005 10:49:11

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"Service"="Print Spooler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Print Spooler\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Print Spooler\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"Service"="Print Spooler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Print Spooler\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"Service"="Print Spooler"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Print Spooler]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Print Spooler\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Print Spooler\Enum]

Hoffe, dass das jetzt das richtige ist

von **Nikita** am 11.09.2005, 11:26

arbeite mit der Killbox und dann poste mir noch einmal alle 4 logs von der datfind.bat

von **Nikita** am 11.09.2005, 11:29

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Code: Alles auswählen: REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Print Spooler] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\Print Spooler] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PRINT_SPOOLER\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Print Spooler] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Print Spooler] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Print Spooler] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PRINT_SPOOLER\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Print Spooler] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Print Spooler] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Print Spooler] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PRINT_SPOOLER\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Print Spooler]

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

Die Datei "fixme.reg" auf dem Desktop doppelklicken. (bestaetigen, dass die der Registry beigefuegt wird) und sofort neustarten.

dann poste noch mal: mit dem Reg-Tool die "Print Spool Handler
um zu sehen, ob die Eintraege aus der Registry geloescht sind.

von **DjSilverbell** am 11.09.2005, 13:43

Was ich schon vorher fragen wollte:

Muss ich dann die Dateiendung in .reg ändern?

von **Holy Marcell** am 11.09.2005, 13:51

Es sollte eine .reg-Datei sein. Und acht beitte darauf, dass da nicht steht:

~fixme.reg.txt
sondern
~fixme.reg

Schau dir nochmal oben in einem von Nikitas Posts an, wie das genau geht.

von **DjSilverbell** am 11.09.2005, 13:56

Hab ich nun getan... fixme.reg hieß sie hinterher ^^

Und hier sind die angeforderten Infos:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Print Spool Handler" 11.09.2005 13:56:04

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"DeviceDesc"="Print Spool Handler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"DeviceDesc"="Print Spool Handler"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"DeviceDesc"="Print Spool Handler"

Ach ja!
Wollte mal fragen, ob es normal ist, dass nun ein Ordner mit dem Namen ,,!Submit" auf C:\ kommt?
Hab ich nämlich eben gemerkt.

Edit:
Und dann noch was:
Meine Taskleiste braucht jetzt zu Start immer Jahre, bis sie verfügbar ist... immer ne Sanduhr, wenn ich mit der Maus rüber fahre

von **Nikita** am 11.09.2005, 14:05

-boote in den abgesicherten Modus:
-Start --Ausfuehren -- regedit (reinschreiben)

bearbeiten--> suchen--> Print Spool Handler(reinschreiben)
Sollte man Probleme haben, die Einträge zu löschen,
„Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels“,
dann gehe mit Rechtsklick im Kontextmenü auf: „Berechtigungen“ Setze das Häkchen bei „Vollzugriff zulassen“ Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"DeviceDesc"="Print Spool Handler"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"DeviceDesc"="Print Spool Handler"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PRINT_SPOOLER\0000]
"DeviceDesc"="Print Spool Handler"

-PC neustarten und noch einmal das Regsearch (Print Spool Handler ) posten
-dann warte ich noch auf die 4 logs von der datfind.dat

Sehr merkwürdig...

Ähnliche Themen

Wer ist online?