180solutions, ncase, msbb.exe Ich werd sie nicht mehr los! :-( |
||
---|---|---|
#0
| ||
24.07.2004, 19:59
...neu hier
Beiträge: 3 |
||
|
||
25.07.2004, 01:42
Member
Beiträge: 1095 |
#2
@amanda
Poste bitte mal das HiAjckthis http://www.hjt.klaffke.de/ Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
25.07.2004, 11:30
...neu hier
Themenstarter Beiträge: 3 |
#3
Jetzt hab ich das Progrämmchen mal laufen lassen, vielmehr hab ich es versucht, aber ich bekam dummerweise folgende Fehlermeldung
"An unexpected error has occured at procedure: modRegistry_IniGetString(sFile=C:\Windows\contol.ini,sSection=don't load, sValue=inetcpl.cpl) Error #5 - Ungültiger Prozeduraufruf oder ungültiges Argument" Zwangsweise konnte ich dann hijack davon überzeugen, noch bis zum Ende durchzusuchen, aber ich weiß nicht, ob es auch alles im Logfile stehen hat. Hier mal das Ergebnis... Logfile of HijackThis v1.98.0 Scan saved at 10:33:44, on 25.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\Programme\Eset\nod32krn.exe C:\Programme\Gemeinsame Dateien\PestPatrol\ppRemoteService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\soundman.exe C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe C:\Programme\PopWall\PopWall.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\WindUpdates\WinUpdt.exe C:\Programme\Eset\nod32kui.exe D:\qttask.exe C:\Programme\PestPatrol\PPControl.exe C:\Program Files\WindUpdates\WinKA.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\NETGEAR\WG111 Configuration Utility\WG111.exe C:\Programme\Hotkey\Ezbutton.exe C:\Programme\SpywareGuard\sgmain.exe C:\Programme\SpywareGuard\sgbhp.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\DOKUME~1\Jenny\LOKALE~1\Temp\Rar$EX00.396\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.lycos.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Vielen Dank schonmal für die Hilfe Liebe Grüße Dieser Beitrag wurde am 25.07.2004 um 11:40 Uhr von Amanda editiert.
|
|
|
||
26.07.2004, 15:56
Member
Beiträge: 69 |
#4
Hallo Amanda,
der Scan ist ziemlich unvollständig. Der komplette Schluß fehlt. Folgende Einträge mußt Du unbedingt fixen: C:\Program Files\WindUpdates\WinUpdt.exe C:\Program Files\WindUpdates\WinKA.exe Dies sind böse Prozesse! Was Du von den folgenden nicht kennst ebenfalls löschen: C:\Programme\Hotkey\Ezbutton.exe C:\Programme\NETGEAR\WG111 Configuration Utility\WG111.exe C:\Programme\Gemeinsame Dateien\PestPatrol\ppRemoteService.exe C:\Programme\PopWall\PopWall.exe brainbox __________ Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4 Dieser Beitrag wurde am 26.07.2004 um 15:58 Uhr von brainbox editiert.
|
|
|
||
26.07.2004, 17:05
...neu hier
Themenstarter Beiträge: 3 |
#5
Vielen lieben Dank
Diese beiden Files hätt ich nie als Spyware erkannt. Die sehen ja auch fast aus, wie als würden sie zu Windows dazughören. Die anderen kenn ich alle (EzButton ist mein Touchpad, WG111 mein USBstick, Pestpatrol mein Antispywareprogramm und PopWall mein PopUpBlocker. Hab ordentlich aufgerüstet ) Leider kann ich kein komplettes Logfile liefern, denn das Programm bricht immer ab. Habe mich per Mail an den Hersteller gewendet und wart nun mal ab, was die sagen. Also besten Dank nochmal und liebe Grüße Amanda |
|
|
||
26.07.2004, 21:25
Member
Beiträge: 1095 |
#6
Zitat Amanda posteteWürde mich auch interessieren Poste es bitte Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
Nun mein Problem: Ich habe immerwieder dieses aufdringliche msbb.exe drauf. Gefunden wird es meist nur vom Bazooka, obwohl der in diversen Zeitschriften als nicht ganz so empfehlenswert getestet wurde. Entfernt habe ich msbb.exe nun schon manuell und per Programm (z.B. ad-aware), aber sobald ich den Rechner ausschalte und wieder neustarte, dauert es nicht lang und ich finde msbb.exe erneut im Taskmanager laufen. Ich bin mir aber ziemlich sicher, daß ich jeweils die kompletten Registry-Einträge, sowie alle Programmkomponenten entfernt habe.
Auf welchem Weg kommt denn das Programm erneut auf meinen Rechner? (Ich habe ja nicht nur die Spywareguards, sondern auch ZoneAlarm Firewall und Nod32 Virenscanner laufen) Irgendeiner muß da doch mal blocken, oder?
Zumal ich auch nur auf ziemlich "normalen" Seiten rumsurfe und auch keine Tauschprogramme oder ähnliches benutze. Vielleicht hat auch jemand eine Übersicht, mit welchen Seiten das Programm zusammenarbeitet? Kennt jemand einen guten Spywareguard, der z.B. explizit dieses Programm abfängt?
(Ist nämlich ziemlich nervig, ständig die Registry zu durchsuchen und den Taskmanager zu kontrollieren, ob das Miststück schon wieder da ist!) ;-)
Vielen Dank für Eure Hilfe. :-)
Grüßli