Spoolsv.exe Trojan Horse Problem
 

Hi,

ich habe hier n Rechner von einem Freund stehen mit einem Spoolsv.exe Trojan Horse. Alle Virenscanner sagen er ist in C:\Program Files\Common Files\?ystem.

Das Verzeichnis kann man aber nur sehen wenn man im DOS-Mode (CMD) ist. Man kann es aber nicht loeschen. Auch nicht wenn man alle Attribute aufhebt.

Wenn es von einem Virenscanner geloescht wird kommt es nach einem Reboot wieder. Weis jemand wie man nachsehen kann welches andere Programm ueberwacht ob diese Spoolsv.exe noch da ist und es dann ggf. wieder in dieses besagte Verzeichnis kopiert? Ich habe gestern ungefaehr 5h lang gegoogled aber jeder scheint andere Probleme und Sympthome zu haben und nichts hilft. Wir haben alle moeglichen Spyware/Adware/Virenscanner ausprobiert hier. Nichts scheint wirklich zu helfen!

Eine Repair-Installation will er partou nicht haben auch keine Neuinstallation!

Weis mir vlt. jemand weiter?

Danke

Re: Spoolsv.exe Trojan Horse Problem
 

Hallo,
evtl. lässt sich der Ordner im abgesicherten Modus löschen?

Wenn der Ordner nicht sichtbar ist:
Einfach mal in den Ordneroptionen alle Dateien anzeigen lassen und die Hächen da weg machen, wo irgendwas von ausblenden steht.

Um den Ordner zu löschen, evtl. auch mal im Taskanager unter Prozesse gucken, ein paar "verdächtige" Prozesse killen, vielleicht lässt sich er dann löschen.

Wenn der Ordner beim Neustart wieder kommt, mal in msconfig nachsehen was so alles im Autostart steht und verdächtiges rausnehmen.

Das wären nur ein paar Vorschläge meinerseits...

Re: Spoolsv.exe Trojan Horse Problem
 

Hi,

wenn du mit dem Rechner noch ans Inet kommst und nichts gegen einen Remotzugriff von mir hast, dann kann ich da mal
nachschauen :wink: .

Re: Spoolsv.exe Trojan Horse Problem
 

Hi,

die Registry hat nichts in Run, RunOnce drin. Die Haeckchen sind alle weg, nichts zu sehen ausser wenn man im DOS ist. Im Safe Mode booten geht. Man kann es loeschen, rebooten und die File und der Folder sind wieder da!

Re: Spoolsv.exe Trojan Horse Problem
 

Naja ...
ich könnte jetzt hier 20 Seiten voll schreiben um dir zu erklären was du machen musst, doch dazu habe ich wirklich keine Lust sorry !

Mein Angebot von oben gilt noch.

Re: Spoolsv.exe Trojan Horse Problem
 

Also ist das Problem, dass die Datei/Ordner beim Neustart wieder da ist?
Da muss sich doch was im Autostart drehen lassen, hatte mal ein Programm dazu geschrieben:
http://www.delphipraxis.net/internal...ct.php?t=85450
Vielleicht findest Du ja doch noch den ein oder anderen verdächtigen Eintrag...

Wenn Du die Datei/Ordner nicht siehst:
schon mal mit FileExists / DirectoryExists probiert?

Re: Spoolsv.exe Trojan Horse Problem
 

Zwanzig Seiten sind zwanzig zu viel, es reicht eine einzige Zeile:

Formatiere die Festplatten und installier WinXP neu!

Alles andere ist unsicher du kannst niemals sicher gehen das wirklich alles von deinem Störenfried beseitigt ist. Linux-Live-System => Daten sichern und dann installiere neu.

Re: Spoolsv.exe Trojan Horse Problem
 

Weshalb?

Re: Spoolsv.exe Trojan Horse Problem
 

Meine Rede.

Ja sogar Microsofts Rede:
http://www.microsoft.com/technet/com...mt/sm0504.mspx

Du kannst ,auch wenn alle Symptome eines Schädlings nicht mehr da sind, nicht sicher sein ob er wirklich nicht mehr exisitiert oder ob andere Schädlinge noch vorhanden sind.

Hier nochetwas nützliches:
http://www.buha.info/board/showthread.php?t=49588

Re: Spoolsv.exe Trojan Horse Problem
 

Bevor Du das hier machen solltest:
könntest Du ja noch die Windows-Systemwiederherstellung ausprobieren, zu einem Zeitpunkt als der Trojaner noch nicht drauf war.
Einen Versuch wärs ja wert...

Re: Spoolsv.exe Trojan Horse Problem
 

*seine eigene Frage beantwort'*

Tja, worauf ich eigentlich hinaus wollte:

Keiner weiß...

...welche Daten er für wichtig hält
...wo sich der Virus überall eingenistet hat, sprich: Welche Datei - Typen er befallen hat.

Ergo:

Keine Daten sichern, sondern wirklich komplett alles löschen.

Re: Spoolsv.exe Trojan Horse Problem
 

Weil man einfach nicht sicher sein kann ob ein Virenscanner einen Schädling wirklich lokalisiert und komplett entfernen kann. Wenn man es per Hand macht sind die Chancen das man wirklich wieder ein 100%ig sicheres und sauberes System bekommt noch geringer. Ich jedenfalls möchte an keinem Rechner arbeiten, an dem noch irgendwo versteckt Schadcode stehen kann...

Re: Spoolsv.exe Trojan Horse Problem
 

Ich weiß, siehe mein Post über deinem. :wink:

Re: Spoolsv.exe Trojan Horse Problem
 

Leider auch nicht zu empfehlen.
Wenn ein Schädling ersteinmal Admin-Rechte erlangt hat (deswegen sollte man nicht mit dem Admin-Konto arbeiten), kann er im Prinzip alles manipulieren, tun und lassen was es will. Prozesse verstecken, Systemwiederherstellung sabotieren. Einfach alles. Kompletter Vollzugriff. Deswegen Neuinstallieren.
Stichwort: Rootkit.

Richtig. Jedoch muss man in erster Linie ja nur auf die ausführbaren Dateitypen achten und auf die Dateitypen, die exploitbar sind aufgrund von Bugs in der Software die diese Dateien öffnen. (*.wmf und *.jpg zum Beispiel)
Wenn man jedoch sein Windows und restliche Software auf dem neusten Patchlevel hat, müsste man theoretisch auch keine Angst davor haben.

Aber das ist sowieso der falsche Ansatz. Wichtige Daten speichert man vorher extern. Wobei auch da man nie weiss ob man zum Zeitpunkt des Backups schon kompromittiert war oder nicht.

Re: Spoolsv.exe Trojan Horse Problem
 

Aua, dass wäre für mich persönlich genauso schlimm als wenn jemand in einen dicken Kratzer in meinen neuen BMW 7 machen würde. :mrgreen:

Wie gesagt Live-System (Linux) ausprobieren. Es gibt da massig spezielle Notfall-Systeme, und wenn 3 verschiedene Virenscanner sagen das die persönlichen Dokumente, etc sicher sind würde ich persönlich darauf vertrauen und die Daten sichern. ;)

Re: Spoolsv.exe Trojan Horse Problem
 

Versuche Systemwiederherstellung, falls es nicht klappt dann..
Explorer > Ordneroptionen > Ansicht > Geschützte Systemdateien ausblenden Hackerl weg, Alle Ordner und Dateien anzeigen und hackerl weg bei Erweiterungen bei bekannten Dateitypen ausblenden.
Downloade dannach AutoRuns und ProcessExplorer von www.sysinternals.com.
Downloade auch noch Unlocker von http://ccollomb.free.fr/unlocker/.
AutoRuns, damit kannst du sehen welche Programme beim Hochfahren gestartet werden.
ProcessExplorer, besserer Taskmanager als der von Windows, siehst Dateien mit dem Vollständigen Pfad und den Icons.
Unlocker, ist ein hilfreiches Programm um geöffnete Handels zu schließen oder gar Dateien zu löschen (Wird dir bestimmt Helfen).
Im Explorer wurden die Einstellungen geändert damit man die System und Versteckten Dateien sieht.
Was du jetzt machen solltest ist...
Schaue zuerst ob du mit dem ProcessExplorer die Datei findest in der Prozessliste, falls ja dann Kill den Prozess.
Dannach schaue mit Autoruns ob deine Datei beim Hochfahren (Tab: Logon) gefunden worden ist, falls ja tue das Hackerl mal zur Sicherheit weg (Falles es wirklich der "Trojaner" ist und du bist dir sicher dann kannst auch aus dem Entfernen).
Dannach geh im Explorer zum Ordner, und versuche die Datei zu entfernen, falls es klappt drücke F5, um sicherzugehen das es gelöscht worden ist, falles es nicht funktioniert dann Rechtsklick > Unlocker, und lösch es mit dem Unlocker (kannst in der ComboBox auswählen).
Das sollte eigentlich funktionieren, falls nicht, dann kille einmal Explorer.exe mit ProcessExplorer (keine sorge, der Explorer startet sich automatisch nach 2 Sekunden wieder) und dann mache alles nochmal wie oben beschrieben weil manche Trojaner im Explorer ihren Code speichern z.B wenn Datei gelöscht wird das sie neu geschrieben wird oder neu gestartet wird.
Falls es aber im WinLogon.exe ist dann lass es lieber den dann startet sich der PC neu.

--ErazerZ

Re: Spoolsv.exe Trojan Horse Problem
 

Hi,

Problem geloest... Wie gesagt in der Registry hatten wir schon aufgeraeumt gehabt, zumindest die bekannten Stellen. Da war nix mehr. Als Process war nichts zu finden und den ProcessExplorere hatten wir gestern schon benutzt gehabt. Auch hab ich die Explorer.exe gestern bereits gekillt gehabt und mit dem Taskmanager wieder neu gestartet gehabt, als letztes hab ich nun folgendes versucht gehabt:
http://www.windowsecurity.com/trojanscan/
Dieser hat alles beseitigt.

Zu allen anderen die sagten dass man sich nicht sicher sein kann und dass man ne Neuinstallation machen sollte. Vollkommen recht, und wir haben auch versucht dem Kunden das klar zu machen, aber er wollte es nicht. Ist in dem Fall nicht unser Problem, zwingen muessen wir niemanden zu seinem Glueck.

Danke euch trotzdem fuer die grosse Hilfe und Ideen!

Re: Spoolsv.exe Trojan Horse Problem
 

das problem ist zwar gelöst habe aber trotzdem noch einen hinweis zu diesem trojaner.
vielleicht hifts ja nochmal jemandem.

ich habe mittlerweile 3 rechner mit diesem gesehen. mann kann
Spoolsv.exe zwar löschen und nach einem neustart ist sie wieder da.
beim 1. rechner bin ich zuerst auch immer nur soweit gekommen, habe mir aber schlußendlich die liste der gestarteten dienste angesehen und habe dort einen
gefunden der dort gar nicht sein dürfte bzw. auf jedem sauberen windows gar nicht existiert. den namen habe ich leider nicht mehr las sich aber wie ein microsoft dienstname, war jedoch irgendwie deplaziert. genau wie die "system" oder "winupdate" einträge mancher trojaner unter run in der registry (so das man sie gleich als falsch erkennen kann oder wahrscheinlich auch soll).

nachdem ich diesen falschen "dienst" und auch die entsprechenden dateien und verzeichnisse gelöscht hatte war der ganze spuk vorbei.
scans mit antispyware- und antivirenprogrammen brachten und bringen bis heute
keine meldung mehr bezüglich dieses trojaners.

aber ich muss sagen nicht ganz unclever. die antivierenprogramme haben immer nur
die Spoolsv.exe als infizierte datei gefunden. die datei des falschen dienstes
wurde immer als sauber bestätigt. scheinbar innerhalb des programms als gepackte resource.

Re: Spoolsv.exe Trojan Horse Problem
 

Kleines Experiment:
Gehe auf rootkit.com, lade dir "FUto" runter und verstecke einen Prozess damit.
Ergebnis: Der Prozess ist nicht in dem Processexplorer sichtbar und auch in etlichen anderen nicht.
Zwar kann "IceSword" zum Beispiel diesen Prozess noch finden, weil es darauf ausgelegt ist, rootkits aufzuspüren, jedoch kann auch IceSword wieder umgangen werden. Und unter anderem scheitern auch andere AntiRootkit-Programme wie "gmer".

Wie kannst du also wirklich nur dadurch sicher sein, dass etwas nicht exisitiert, weil du es nicht siehst?

Re: Spoolsv.exe Trojan Horse Problem
 

in diesem fall waren es die aktionen, welche vom trojaner ausgeführt wurden:
- speziell die übermäßige nutzung der internetverbindung
- hohe prozessorauslastung (bei schneller internetverbindung)
- downloaden und kopieren von dateien
- bearbeiten der registry um die heruntergeladenen programme zu starten

diese aktionen wurden nicht mehr ausgeführt, nachdem ich den falschen "dienst" und
alle anderen direkt damit in verbindungstehenden dateien gelöscht hatte.
waren relativ einfach zu finden mit einem verzeichnismonitor.

und ich glaube auch nicht, dass sich ein trojaner oder rookit "ruhig verhält" nur weil
man ihm auf die schliche gekommen ist, sprich gemerkt hat, dass etwas nicht in ordnung ist
und einige dateien gefunden und gelöscht hat. es wird nicht abwarten bis gras über die
sache gewachsen ist.

und absolut sicher kann man eh nicht sein, das eins dieser kleinen biester wirklich weg
oder erst überhaupt nicht da ist. nicht mal mit formatieren und neuinstallation.

Re: Spoolsv.exe Trojan Horse Problem
 

Es wäre nicht das erste Mal das sich Schädlinge (z.B. als Teil von Bot-Netzen) ruhig verhalten bis zu einem bestimmten Datum und dann erst ihre Aktivitäten beginnen.

Stimmt, trotzdem ist die Wahrscheinlichkeit eines kompletten Beseitigens eindeutig höher.