AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Betriebssysteme Spoolsv.exe Trojan Horse Problem
Thema durchsuchen
Ansicht
Themen-Optionen

Spoolsv.exe Trojan Horse Problem

Ein Thema von Mackhack · begonnen am 17. Nov 2006 · letzter Beitrag vom 18. Nov 2006
Antwort Antwort
Seite 2 von 3     12 3      
Daniel G
(Gast)

n/a Beiträge
 
#11

Re: Spoolsv.exe Trojan Horse Problem

  Alt 17. Nov 2006, 19:37
Zitat von Neotracer64:
Ja sogar Microsofts Rede:
*seine eigene Frage beantwort'*

Tja, worauf ich eigentlich hinaus wollte:

Zitat:
Daten sichern und dann installiere neu.
Keiner weiß...

...welche Daten er für wichtig hält
...wo sich der Virus überall eingenistet hat, sprich: Welche Datei - Typen er befallen hat.

Ergo:

Keine Daten sichern, sondern wirklich komplett alles löschen.
  Mit Zitat antworten Zitat
Balu der Bär
(Gast)

n/a Beiträge
 
#12

Re: Spoolsv.exe Trojan Horse Problem

  Alt 17. Nov 2006, 19:38
Zitat von Daniel G:
[Weshalb?
Weil man einfach nicht sicher sein kann ob ein Virenscanner einen Schädling wirklich lokalisiert und komplett entfernen kann. Wenn man es per Hand macht sind die Chancen das man wirklich wieder ein 100%ig sicheres und sauberes System bekommt noch geringer. Ich jedenfalls möchte an keinem Rechner arbeiten, an dem noch irgendwo versteckt Schadcode stehen kann...
  Mit Zitat antworten Zitat
Daniel G
(Gast)

n/a Beiträge
 
#13

Re: Spoolsv.exe Trojan Horse Problem

  Alt 17. Nov 2006, 19:40
Zitat von Balu der Bär:
Weil man einfach nicht sicher sein...
Ich weiß, siehe mein Post über deinem.
  Mit Zitat antworten Zitat
Neotracer64

Registriert seit: 27. Okt 2004
292 Beiträge
 
Delphi 7 Professional
 
#14

Re: Spoolsv.exe Trojan Horse Problem

  Alt 17. Nov 2006, 19:42
Zitat:
...könntest Du ja noch die Windows-Systemwiederherstellung ausprobieren...
Leider auch nicht zu empfehlen.
Wenn ein Schädling ersteinmal Admin-Rechte erlangt hat (deswegen sollte man nicht mit dem Admin-Konto arbeiten), kann er im Prinzip alles manipulieren, tun und lassen was es will. Prozesse verstecken, Systemwiederherstellung sabotieren. Einfach alles. Kompletter Vollzugriff. Deswegen Neuinstallieren.
Stichwort: Rootkit.

Zitat:
...wo sich der Virus überall eingenistet hat, sprich: Welche Datei - Typen er befallen hat.
Richtig. Jedoch muss man in erster Linie ja nur auf die ausführbaren Dateitypen achten und auf die Dateitypen, die exploitbar sind aufgrund von Bugs in der Software die diese Dateien öffnen. (*.wmf und *.jpg zum Beispiel)
Wenn man jedoch sein Windows und restliche Software auf dem neusten Patchlevel hat, müsste man theoretisch auch keine Angst davor haben.

Aber das ist sowieso der falsche Ansatz. Wichtige Daten speichert man vorher extern. Wobei auch da man nie weiss ob man zum Zeitpunkt des Backups schon kompromittiert war oder nicht.
  Mit Zitat antworten Zitat
Balu der Bär
(Gast)

n/a Beiträge
 
#15

Re: Spoolsv.exe Trojan Horse Problem

  Alt 17. Nov 2006, 19:43
Zitat von Daniel G:
Keine Daten sichern, sondern wirklich komplett alles löschen.
Aua, dass wäre für mich persönlich genauso schlimm als wenn jemand in einen dicken Kratzer in meinen neuen BMW 7 machen würde.

Wie gesagt Live-System (Linux) ausprobieren. Es gibt da massig spezielle Notfall-Systeme, und wenn 3 verschiedene Virenscanner sagen das die persönlichen Dokumente, etc sicher sind würde ich persönlich darauf vertrauen und die Daten sichern.
  Mit Zitat antworten Zitat
Benutzerbild von ErazerZ
ErazerZ

Registriert seit: 27. Mai 2005
Ort: Baden
315 Beiträge
 
Delphi 2007 Enterprise
 
#16

Re: Spoolsv.exe Trojan Horse Problem

  Alt 17. Nov 2006, 19:52
Versuche Systemwiederherstellung, falls es nicht klappt dann..
Explorer > Ordneroptionen > Ansicht > Geschützte Systemdateien ausblenden Hackerl weg, Alle Ordner und Dateien anzeigen und hackerl weg bei Erweiterungen bei bekannten Dateitypen ausblenden.
Downloade dannach AutoRuns und ProcessExplorer von www.sysinternals.com.
Downloade auch noch Unlocker von http://ccollomb.free.fr/unlocker/.
AutoRuns, damit kannst du sehen welche Programme beim Hochfahren gestartet werden.
ProcessExplorer, besserer Taskmanager als der von Windows, siehst Dateien mit dem Vollständigen Pfad und den Icons.
Unlocker, ist ein hilfreiches Programm um geöffnete Handels zu schließen oder gar Dateien zu löschen (Wird dir bestimmt Helfen).
Im Explorer wurden die Einstellungen geändert damit man die System und Versteckten Dateien sieht.
Was du jetzt machen solltest ist...
Schaue zuerst ob du mit dem ProcessExplorer die Datei findest in der Prozessliste, falls ja dann Kill den Prozess.
Dannach schaue mit Autoruns ob deine Datei beim Hochfahren (Tab: Logon) gefunden worden ist, falls ja tue das Hackerl mal zur Sicherheit weg (Falles es wirklich der "Trojaner" ist und du bist dir sicher dann kannst auch aus dem Entfernen).
Dannach geh im Explorer zum Ordner, und versuche die Datei zu entfernen, falls es klappt drücke F5, um sicherzugehen das es gelöscht worden ist, falles es nicht funktioniert dann Rechtsklick > Unlocker, und lösch es mit dem Unlocker (kannst in der ComboBox auswählen).
Das sollte eigentlich funktionieren, falls nicht, dann kille einmal Explorer.exe mit ProcessExplorer (keine sorge, der Explorer startet sich automatisch nach 2 Sekunden wieder) und dann mache alles nochmal wie oben beschrieben weil manche Trojaner im Explorer ihren Code speichern z.B wenn Datei gelöscht wird das sie neu geschrieben wird oder neu gestartet wird.
Falls es aber im WinLogon.exe ist dann lass es lieber den dann startet sich der PC neu.

--ErazerZ
  Mit Zitat antworten Zitat
Benutzerbild von Mackhack
Mackhack

Registriert seit: 29. Nov 2003
Ort: San Diego, CA/USA
1.446 Beiträge
 
Delphi 2006 Architect
 
#17

Re: Spoolsv.exe Trojan Horse Problem

  Alt 17. Nov 2006, 22:22
Hi,

Problem geloest... Wie gesagt in der Registry hatten wir schon aufgeraeumt gehabt, zumindest die bekannten Stellen. Da war nix mehr. Als Process war nichts zu finden und den ProcessExplorere hatten wir gestern schon benutzt gehabt. Auch hab ich die Explorer.exe gestern bereits gekillt gehabt und mit dem Taskmanager wieder neu gestartet gehabt, als letztes hab ich nun folgendes versucht gehabt:
http://www.windowsecurity.com/trojanscan/
Dieser hat alles beseitigt.

Zu allen anderen die sagten dass man sich nicht sicher sein kann und dass man ne Neuinstallation machen sollte. Vollkommen recht, und wir haben auch versucht dem Kunden das klar zu machen, aber er wollte es nicht. Ist in dem Fall nicht unser Problem, zwingen muessen wir niemanden zu seinem Glueck.

Danke euch trotzdem fuer die grosse Hilfe und Ideen!
Um etwas Neues zu schaffen muss man seine Ohren vor den Nein-sagern verschliessen um seinen Geist öffnen zu können.
(George Lukas)
  Mit Zitat antworten Zitat
Benutzerbild von Nighthawk1310
Nighthawk1310

Registriert seit: 22. Feb 2004
Ort: Izmir / Türkei
45 Beiträge
 
Delphi 7 Enterprise
 
#18

Re: Spoolsv.exe Trojan Horse Problem

  Alt 17. Nov 2006, 23:06
das problem ist zwar gelöst habe aber trotzdem noch einen hinweis zu diesem trojaner.
vielleicht hifts ja nochmal jemandem.

ich habe mittlerweile 3 rechner mit diesem gesehen. mann kann
Spoolsv.exe zwar löschen und nach einem neustart ist sie wieder da.
beim 1. rechner bin ich zuerst auch immer nur soweit gekommen, habe mir aber schlußendlich die liste der gestarteten dienste angesehen und habe dort einen
gefunden der dort gar nicht sein dürfte bzw. auf jedem sauberen windows gar nicht existiert. den namen habe ich leider nicht mehr las sich aber wie ein microsoft dienstname, war jedoch irgendwie deplaziert. genau wie die "system" oder "winupdate" einträge mancher trojaner unter run in der registry (so das man sie gleich als falsch erkennen kann oder wahrscheinlich auch soll).

nachdem ich diesen falschen "dienst" und auch die entsprechenden dateien und verzeichnisse gelöscht hatte war der ganze spuk vorbei.
scans mit antispyware- und antivirenprogrammen brachten und bringen bis heute
keine meldung mehr bezüglich dieses trojaners.

aber ich muss sagen nicht ganz unclever. die antivierenprogramme haben immer nur
die Spoolsv.exe als infizierte datei gefunden. die datei des falschen dienstes
wurde immer als sauber bestätigt. scheinbar innerhalb des programms als gepackte resource.
Michael
  Mit Zitat antworten Zitat
Neotracer64

Registriert seit: 27. Okt 2004
292 Beiträge
 
Delphi 7 Professional
 
#19

Re: Spoolsv.exe Trojan Horse Problem

  Alt 18. Nov 2006, 04:25
Kleines Experiment:
Gehe auf rootkit.com, lade dir "FUto" runter und verstecke einen Prozess damit.
Ergebnis: Der Prozess ist nicht in dem Processexplorer sichtbar und auch in etlichen anderen nicht.
Zwar kann "IceSword" zum Beispiel diesen Prozess noch finden, weil es darauf ausgelegt ist, rootkits aufzuspüren, jedoch kann auch IceSword wieder umgangen werden. Und unter anderem scheitern auch andere AntiRootkit-Programme wie "gmer".

Wie kannst du also wirklich nur dadurch sicher sein, dass etwas nicht exisitiert, weil du es nicht siehst?
  Mit Zitat antworten Zitat
Benutzerbild von Nighthawk1310
Nighthawk1310

Registriert seit: 22. Feb 2004
Ort: Izmir / Türkei
45 Beiträge
 
Delphi 7 Enterprise
 
#20

Re: Spoolsv.exe Trojan Horse Problem

  Alt 18. Nov 2006, 09:00
Zitat:
Wie kannst du also wirklich nur dadurch sicher sein,
dass etwas nicht exisitiert, weil du es nicht siehst?
in diesem fall waren es die aktionen, welche vom trojaner ausgeführt wurden:
- speziell die übermäßige nutzung der internetverbindung
- hohe prozessorauslastung (bei schneller internetverbindung)
- downloaden und kopieren von dateien
- bearbeiten der registry um die heruntergeladenen programme zu starten

diese aktionen wurden nicht mehr ausgeführt, nachdem ich den falschen "dienst" und
alle anderen direkt damit in verbindungstehenden dateien gelöscht hatte.
waren relativ einfach zu finden mit einem verzeichnismonitor.

und ich glaube auch nicht, dass sich ein trojaner oder rookit "ruhig verhält" nur weil
man ihm auf die schliche gekommen ist, sprich gemerkt hat, dass etwas nicht in ordnung ist
und einige dateien gefunden und gelöscht hat. es wird nicht abwarten bis gras über die
sache gewachsen ist.

und absolut sicher kann man eh nicht sein, das eins dieser kleinen biester wirklich weg
oder erst überhaupt nicht da ist. nicht mal mit formatieren und neuinstallation.
Michael
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 3     12 3      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:30 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz