Hilfe Win32.Joleee.k

[Franny]

Hi,
ich erhielt heute einen Anruf von meinem ISP und mir wurde mitgeteilt, dass von meiner IP aus um 11:04h Email-Spam verbreitet wurde. Ich solle mal mein System überprüfen. Am besten mit Spybot. Zunächst habe ich mein Zone Alarm Security Suite genommen. Es wurde nichts gefunden. Dann Spybot installiert und tatsächlich..... Spybot fand einen Wurm (fraglich, ob es einer ist???) namens Win32.Joleee.k. Okay, das Teil gelöscht. So dachte ich. Denn das Ding lässt sich nicht dauerhaft löschen. Der kommt immer wieder. Also gegoogelt wie ein Irrer. Ich fand heraus, dass dies u.U. mit einem als IMAP, statt POP3 eingerichteten Mailproggi zu tun haben könnte. Neben Incredimail, nutze ich Outlook 2003. Und Outlook ist als IMAP konfiguriert. Outlook also dann als POP3 neu konfiguriert. Dann las ich, dass man in der Registry den Eintrag "del" unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\services\ löschen soll. Nur auch hier das Gleiche. Lösche ich und klicke erneut auf den Ordner "services", ist der Eintrag sofort wieder da. Eine weitere Maßnahme wurde wie folgt vorgeschlagen... Remove "66.96.248.197" from registry value "host" at "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\". Diesen Eintrag gibt es allerdings bei mir in der Registry nicht. Dann sollte man noch folgendes machen....

Go to msconfig.exe to remove the following autorun entries.

* Entries named "services" and pointing to "<$WINDIR>\*.exe".

Hiermit kann ich aber nun gar nichts anfangen. Ich finde zwar im Autostart den Eintrag "services", mehr aber auch nicht.

Habe dann noch versucht im abgesichter Modus, spybot laufen zu lassen. Abgesichter Modus komme ich nicht rein??? So dann habe ich, da ich regelmäßig Images erstelle, meinen Rechner auf den 8.5.09 zurückgesetzt. Aber auch hier findet Spybot den Win32.Joleee.k. Nur, das kann eigentlich gar nicht sein, dass der mit der Sache überhaupt noch was zu tun hat. Denn am 8.5.09 existierte das Prob noch nicht. Deshalb frage ich mich.......ist das überhaupt das verantwortliche Teil dafür, dass von meiner IP Spam verschickt wird? Ist das überhaupt ein Wurm???


Ich weiß einfach nicht mehr weiter. Weiß jemand wie dem Biest (insofern es überhaupt ein Biest ist) den Garaus machen kann??? Und....bitte schau doch mal jemand in seiner Registry nach, ob er den gleichen Eimntrag, wie oben genannt (del) in seiner Reg hat.

OS: Win XP Pro SP3

[kostas1]

Hi,
ich erhielt heute einen Anruf von meinem ISP und mir wurde mitgeteilt, dass von meiner IP aus um 11:04h Email-Spam verbreitet wurde. Ich solle mal mein System überprüfen. Am besten mit Spybot. Zunächst habe ich mein Zone Alarm Security Suite genommen. Es wurde nichts gefunden. Dann Spybot installiert und tatsächlich..... Spybot fand einen Wurm (fraglich, ob es einer ist???) namens Win32.Joleee.k. Okay, das Teil gelöscht. So dachte ich. Denn das Ding lässt sich nicht dauerhaft löschen. Der kommt immer wieder. Also gegoogelt wie ein Irrer. Ich fand heraus, dass dies u.U. mit einem als IMAP, statt POP3 eingerichteten Mailproggi zu tun haben könnte. Neben Incredimail, nutze ich Outlook 2003. Und Outlook ist als IMAP konfiguriert. Outlook also dann als POP3 neu konfiguriert. Dann las ich, dass man in der Registry den Eintrag "del" unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\services\ löschen soll. Nur auch hier das Gleiche. Lösche ich und klicke erneut auf den Ordner "services", ist der Eintrag sofort wieder da. Eine weitere Maßnahme wurde wie folgt vorgeschlagen... Remove "66.96.248.197" from registry value "host" at "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\". Diesen Eintrag gibt es allerdings bei mir in der Registry nicht. Dann sollte man noch folgendes machen....
Go to msconfig.exe to remove the following autorun entries.
* Entries named "services" and pointing to "<$WINDIR>\*.exe".
Hiermit kann ich aber nun gar nichts anfangen. Ich finde zwar im Autostart den Eintrag "services", mehr aber auch nicht.
Habe dann noch versucht im abgesichter Modus, spybot laufen zu lassen. Abgesichter Modus komme ich nicht rein??? So dann habe ich, da ich regelmäßig Images erstelle, meinen Rechner auf den 8.5.09 zurückgesetzt. Aber auch hier findet Spybot den Win32.Joleee.k. Nur, das kann eigentlich gar nicht sein, dass der mit der Sache überhaupt noch was zu tun hat. Denn am 8.5.09 existierte das Prob noch nicht. Deshalb frage ich mich.......ist das überhaupt das verantwortliche Teil dafür, dass von meiner IP Spam verschickt wird? Ist das überhaupt ein Wurm???
Ich weiß einfach nicht mehr weiter. Weiß jemand wie dem Biest (insofern es überhaupt ein Biest ist) den Garaus machen kann??? Und....bitte schau doch mal jemand in seiner Registry nach, ob er den gleichen Eimntrag, wie oben genannt (del) in seiner Reg hat.
OS: Win XP Pro SP3

..Hi.Ist hier die lösung.?

***.scanforfree.com/54/win32-joleee-k-remover.html

[Franny]

Oh Mann, danke Dir. Ich könnte mir die Haare raufen. Nix funzt. Aber das werde ich jetzt mal probieren. Hatte in dem unten aufgeführten Link schon darüber gelesen. Ist haargenau mein Problem. Habe schon alles versucht. Aber genau wie in dem Link, die gleichen negativen Ergebnisse.....

***.trojaner-board.de/6320-services-exe-problem.html

Melde mich dann noch mal

[Franny]

Sorry wegen Doppelpost, aber das muss raus.........

Alter, Du bist mein Gott. Das Teil hat mir alles rausgenommen...Aus der Reg, aus dem Systemstart und unter Windows. Spybot zeigt mir keine Fehler mehr an. Hammer!

Frage.... wo hast Du das her? Beziehungsweise, ich blicke noch nicht ganz durch, ob das Proggi, welches ja ne Full-Install ist, absolut Freeware- oder Share/trial-Ware ist. Kannst Du mir mehr darüber sagen? Muss ich das kaufen?

Nochmals...

Vielen, vielen Dank

[kostas1]

Sorry wegen Doppelpost, aber das muss raus.........
Alter, Du bist mein Gott. Das Teil hat mir alles rausgenommen...Aus der Reg, aus dem Systemstart und unter Windows. Spybot zeigt mir keine Fehler mehr an. Hammer!
Frage.... wo hast Du das her? Beziehungsweise, ich blicke noch nicht ganz durch, ob das Proggi, welches ja ne Full-Install ist, absolut Freeware- oder Share/trial-Ware ist. Kannst Du mir mehr darüber sagen? Muss ich das kaufen?
Nochmals...
Vielen, vielen Dank

..Hi.Der link habe in Google gefunden,wen es zu kaufen ist weiss nicht,
soltes auch nichts kaufen.
Lade von hier diese kleines programm updaten und schalte internet aus
dan mache ein "full scan" es dauert,der findet (fast) alles.mfg.

http://malwarebytes-anti-malware.softonic.de/

PS:wen der PC sauber ist,dan ist alles OK.

[Franny]

Hi, nochmals bedankt. Nur, das Proggi lässt sich nicht installieren. Ich kann während der Install einige DLL-Dateien nicht registrieren. Ich glaube nu habe ich ein neues Problem, grrrrr Und leider ist das Pareto Logic nur Shareware. Kann es sein, dass es darn liegt, dass ich unter "msconfig" den Eintrag "services" rausgenommen habe? Könntest mal bitte nachschauen, ob sich bei Dir solch ein Eintrag befindet?

Hat sich erledigt. Einfach auf "Wiederholen" geklickt, dann gings. Wäre trotzdem mal interessant zu wissen, ob Du, oder vlt. auch andere, diesen Eintrag "services" im Systemstart habt.

[Duke]

Mit starten der Winlogon.exe wird auch x:\WINDOWS\system32\services.exe gestartet der sowas wie die svchost.exe und alg.exe startet.