180solutions, ncase, msbb.exe Ich werd sie nicht mehr los! :-(

#1 Ich habe mittlerweile 5 verschiedene Spywarescanner auf meinem Rechner, die ich alle meist nacheinander mal scannen lasse. Zusätzlich habe ich auch noch 3 immer aktive Spywareguards im Hintergrund laufen, wenn ich ins Internet gehe.
Nun mein Problem: Ich habe immerwieder dieses aufdringliche msbb.exe drauf. Gefunden wird es meist nur vom Bazooka, obwohl der in diversen Zeitschriften als nicht ganz so empfehlenswert getestet wurde. Entfernt habe ich msbb.exe nun schon manuell und per Programm (z.B. ad-aware), aber sobald ich den Rechner ausschalte und wieder neustarte, dauert es nicht lang und ich finde msbb.exe erneut im Taskmanager laufen. Ich bin mir aber ziemlich sicher, daß ich jeweils die kompletten Registry-Einträge, sowie alle Programmkomponenten entfernt habe.
Auf welchem Weg kommt denn das Programm erneut auf meinen Rechner? (Ich habe ja nicht nur die Spywareguards, sondern auch ZoneAlarm Firewall und Nod32 Virenscanner laufen) Irgendeiner muß da doch mal blocken, oder?
Zumal ich auch nur auf ziemlich "normalen" Seiten rumsurfe und auch keine Tauschprogramme oder ähnliches benutze. Vielleicht hat auch jemand eine Übersicht, mit welchen Seiten das Programm zusammenarbeitet? Kennt jemand einen guten Spywareguard, der z.B. explizit dieses Programm abfängt?

(Ist nämlich ziemlich nervig, ständig die Registry zu durchsuchen und den Taskmanager zu kontrollieren, ob das Miststück schon wieder da ist!) ;-)


Vielen Dank für Eure Hilfe. :-)

Grüßli

#2 @amanda

Poste bitte mal das HiAjckthis

http://www.hjt.klaffke.de/

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 Jetzt hab ich das Progrämmchen mal laufen lassen, vielmehr hab ich es versucht, aber ich bekam dummerweise folgende Fehlermeldung

"An unexpected error has occured at procedure: modRegistry_IniGetString(sFile=C:\Windows\contol.ini,sSection=don't load, sValue=inetcpl.cpl)
Error #5 - Ungültiger Prozeduraufruf oder ungültiges Argument"


Zwangsweise konnte ich dann hijack davon überzeugen, noch bis zum Ende durchzusuchen, aber ich weiß nicht, ob es auch alles im Logfile stehen hat.

Hier mal das Ergebnis...


Logfile of HijackThis v1.98.0
Scan saved at 10:33:44, on 25.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Eset\nod32krn.exe
C:\Programme\Gemeinsame Dateien\PestPatrol\ppRemoteService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe
C:\Programme\PopWall\PopWall.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\WindUpdates\WinUpdt.exe
C:\Programme\Eset\nod32kui.exe
D:\qttask.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Program Files\WindUpdates\WinKA.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\NETGEAR\WG111 Configuration Utility\WG111.exe
C:\Programme\Hotkey\Ezbutton.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\DOKUME~1\Jenny\LOKALE~1\Temp\Rar$EX00.396\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.lycos.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =




Vielen Dank schonmal für die Hilfe


Liebe Grüße

#4 Hallo Amanda,

der Scan ist ziemlich unvollständig. Der komplette Schluß fehlt.
Folgende Einträge mußt Du unbedingt fixen:

C:\Program Files\WindUpdates\WinUpdt.exe
C:\Program Files\WindUpdates\WinKA.exe
Dies sind böse Prozesse!

Was Du von den folgenden nicht kennst ebenfalls löschen:

C:\Programme\Hotkey\Ezbutton.exe
C:\Programme\NETGEAR\WG111 Configuration Utility\WG111.exe
C:\Programme\Gemeinsame Dateien\PestPatrol\ppRemoteService.exe
C:\Programme\PopWall\PopWall.exe

brainbox
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4

#5 Vielen lieben Dank
Diese beiden Files hätt ich nie als Spyware erkannt. Die sehen ja auch fast aus, wie als würden sie zu Windows dazughören. Die anderen kenn ich alle (EzButton ist mein Touchpad, WG111 mein USBstick, Pestpatrol mein Antispywareprogramm und PopWall mein PopUpBlocker. Hab ordentlich aufgerüstet )

Leider kann ich kein komplettes Logfile liefern, denn das Programm bricht immer ab. Habe mich per Mail an den Hersteller gewendet und wart nun mal ab, was die sagen.

Also besten Dank nochmal und liebe Grüße

Amanda

#6

Zitat

Amanda postete
Leider kann ich kein komplettes Logfile liefern, denn das Programm bricht immer ab. Habe mich per Mail an den Hersteller gewendet und wart nun mal ab, was die sagen.

Würde mich auch interessieren
Poste es bitte

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware