{78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\msnscps.dll

#1 Hiiilfe... irgendwie hat sich da ein Wurm bei mir eingeschlichen...

Immer, wenn ich meinen PC starte, dann kommt erst ne Fehlermeldung von services.exe und dann fängt ein Countdown an ab 60sec rückwärts zu zählen, danach startet er dann neu.

Ich hab jetzt auch mal den SecurityTaskManager installiert, und der findet mit nem Urteil von "potentiell gefährlich" Einen Prozess mit dem Namen "ZCfgSvc.exe" ist dicht gefolgt von "msnscps.dll"

Ihr schreibt hier immer was von logfiles usw. und von dem Pgrogramm HijackThis, ich habs mir mal runtergeladen, aber kann leider rein gar nichts damit anfangen... aber ich kann euch gern mal die Logfiles schreiben... auch wenn es mühsam ist, immerhin muss ich alles von meinem PC abtippen, da auch Anwendungen nur noch im abgesicherten Modus gehen...


Logfile of HijackThis v1.99.1
Scan saved at 22:03:51, on 24.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\DOKUME~1\DOROTH~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\msnscps.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


Kann mir bitte jemand schnellstmöglich auf die Sprünge helfen, ich brauch mein Notebook nämlich recht dringend für die Arbeit, und die soll ja bekanntlich nicht liegen bleiben

MfG maurea

#2 Teste diese Datei C:\WINDOWS\system32\msnscps.dll bitte hier und berichte uns vom ergebniss:
http://virusscan.jotti.org/
__________
MfG Ralf
SEO-Spam Hunter

#3 der service ist momentan leider überlastet... aber ich versuchs weiter.

gibt es sonst noch was, was ich tun kann?

muss das von meinem pc aus gemacht werden? weil der funktioniert ja so irgendwie gar nicht, also internet geht keinesfalls... ér läuft nur im abgesicherten modus im moment. und da komm ich nicht ins internet

#4 Du kannst diesen Eintrag fixen(im abgesicherten Modus)
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\msnscps.dll


Wenn es das ist, was ich vermute, ist es nicht alles. Hast du letztens irgendwelche Anhaenge aus Emails geoeffnet?

Du kannst zum testen auch diesen Service nutzen:
http://www.virustotal.com
__________
MfG Ralf
SEO-Spam Hunter

#5 was meinst du mit fixen? Sorry, steh total aufm Schlauch, versuch seit letzter Nacht alles nur erdenkliche um den PC zu retten...

Nein, aber gestern dummerweise etwas aus dem Netz geladen, wo der wurm wohl drin war...


Das ist das Ergebnis am PC von meinem Verlobten:

Scanner Malware name
AntiVir X
ArcaVir X
Avast X
AVG Antivirus X
BitDefender BehavesLike:Trojan.Downloader
ClamAV Trojan.SFX-RunExe.gen
Dr.Web Trojan.DownLoader.6084
F-Prot Antivirus W32/Downloader.gen
Fortinet W32/Small.CDK!dldr
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.cgl
NOD32 X
Norman Virus Control X
UNA X
VBA32 Trojan-Downloader.Win32.Small.cgl

#6 Den angergebenen Eintrag anhaken und dann fix checked druecken!
__________
MfG Ralf
SEO-Spam Hunter

#7 Boa, damit habe ich nicht gerechnet. Ein Downloader. Na, das ist nicht gut, der ist auch noch relativ neu. Schick mir diese Datei bitte, wenn sie noch da ist und mache einen Onlinescan mit Kaspersky:
http://www.kaspersky.com/virusscanner
Ein datfindbat report waere auch nicht schlecht.
http://board.protecus.de/t21471-1.htm#213002

Antwort gibts aber erst morgen dazu!
__________
MfG Ralf
SEO-Spam Hunter

#8 der löscht das dann, oder?

kann keine negativen einweirkungen haben, wenn der das löscht?


So, jetzt nochmal, ich versteh so gut wie nix, ich drücke jetzt fixchecked und dann soll ich dir welche datei schicken, und wie?
Bitte nicht sauer werden, aber ich bin grad ein Nullchecjker..


Achso.. meinst du die, die ich runtergeladen hab? Die ist schon weg... Schlimm?

----------->
Hab jetzt des Ding Fix checked, nu isses weg...
Starte den PC jetzt neu...

___________________>
Hab grade neustarten wollen, dann kam, dass das Programm "Sample" Probleme machtz und beendet werden muss, kann das davon kommen, oder liegt es am abgesicherten Modus?

---------------->
Neugestartet und bumms... "file:///c:/secure32.exe" wurde nicht gefunden. Stellen sie sicher, dass der Pfad bzw. die Internetadresse richtig ist...
Kann das was mit dem Trojaner/Wurm oder whatever zu tun haben?

#9 Ich merke schon, das muessen wir anders anpacken.
fix noch diese Eintraege:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

Dann nutze Ewido:
http://virus-protect.org/ewido.html

und danach cureit:
http://virus-protect.org/cureit.html
__________
MfG Ralf
SEO-Spam Hunter

#10 okay, ich hab die Einträge jetzt gefixt und mache mich an die scanner, die du mir gesagt hast... und dann...??

Die Scanner haben auch nichts gefunden, genauso wenig wie mein eigener Mc Affee, der hatte zwar den Trojaner anfangs gefunden, und auch gelöscht - aber dann eben nichts mehr...

Ich denke, ich komme wohl nicht herum, den PC neu zu installieren...

#11 darf ich mich mit reinhaengen ?

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Zitat

Troj/Bankem-N is a password-stealing Trojan for the Windows platform.
http://www.sophos.com/virusinfo/analyses/trojbankemn.html
Troj/Bankem-N includes functionality to access the internet and communicate
with a remote server via HTTP.

When Troj/Bankem-N is installed it creates the file <Windows system folder>\apwiz.dll.

The file apwiz.dll is registered as a COM object and Browser Helper Object
(BHO) for Microsoft Internet Explorer, creating registry entries under:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{78364D99-A640-4ddf-B91A-67EFF8373045}
HKCR\CLSID\{78364D99-A640-4ddf-B91A-67EFF8373045}

The following registry entry is set:

HKCU\Software\Microsoft\Internet Explorer\Main
Enable Browser Extensions
yes

Registry entries are created under:
HKLM\SOFTWARE\Windows\


---------------------------------------
TR/Spy.Goldun.FN.3

[HKLM\Software\Windows]
• "phid" = "%Hex Werte%"
• "installer_time" = dword:%Hex Werte%

– [HKCR\CLSID\{78364D99-A640-4ddf-B91A-67EFF8373045}\InprocServer32]
• "ThreadingModel" = "apartment"
• "@" = "%SYSDIR%\appwiz.dll"

Folgender Registry key wird geändert:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
Alter Wert:
• "Enable Browser Extensions" = "%Einstellungen des Benutzers%"
Neuer Wert:
• "Enable Browser Extensions" = "yes"

__________
MfG Sabina

rund um die PC-Sicherheit

#12

Zitat

Sabina postete
darf ich mich mit reinhaengen ?

Troj/Bankem-N is a password-stealing Trojan for the Windows platform.
http://www.sophos.com/virusinfo/analyses/trojbankemn.html
When Troj/Bankem-N is installed it creates the file <Windows system folder>\apwiz.dll.

Kein Prob, nur denke daran, das es kein Banker Trojaner ist.
__________
MfG Ralf
SEO-Spam Hunter

#13 keiner ? er hat die gleiche BHO .......
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Ja, das habe ich auch erst gedacht, aber es ist ein untypischer Dateiname und der Scan bei Jotti sagt ja auch downloader und so vertun koennen die sich nicht, den Banker und downloader ist was ganz anderes. Aber ein Datfindbat Report wird hoffentlich mehr zeigen....
__________
MfG Ralf
SEO-Spam Hunter

#15 dar fich mich vielleicht auch hier mit reinhängen ? symptome sind bei mir auch so,
also rechenr fährt hoch dauert erstmal ne kleine ewigkeit zum desktop laden.. sobald ich firefox oder irgendwas am inet mache kommt die Meldung:

Nt authorität..

services.exe unerwartet mit statuscode -1073741819
blabla 60sek

sobal ich shutdown -a eingebe fährt er zwar nicht runter aber ein arbeiten ist nicht möglich, ich wundere mich das ich hier schreiben kann weil normalerweise stürzt der firefox nach 2-3 geladenen Seiten ab...

Ebenso Nero, norton, und nahezu alles andere. Vor 10min hab ich winamp gestartet und jetzt erscheitn es erst aufm Desktop oO. Hab schn so einiges aus diesem Forum ausprobiert aber lagsam bin ich mit meinem eigentlich recht gutem Latein am Ende. Und ne Neuistallation wäre ja wie eine Niederlage gegen diese miesen Dinger was immer das auch ist.....
Hab schon kaspersky, norton, anti malware programme und allerlei sachen probiert aber imer ohne erfolg.

Am anfang kam sogar noch diese "your pc is infected " nachricht aufm desktop aber die hab ich schon gekillt.

Im hijack this hab ich die R1 - R0 eintäge auch schon gefixt.....

aber jetzt weiss ich nicht weiter und hoffe das hier jemand st der weiss was ich tun kann.

Bitte um antwort ! :/

*klic* und hoffen das er das lädt........

( ich denke nich an sasser und blaster da sp2 mit allerlei updates)

achso und ich habe anscheinend keine admin rechte mehr ............. die wurden mir von irgendwas genommen .

hab mal datfindbat ausgeführt:
Datentr„ger in Laufwerk C: ist alt
Volumeseriennummer: 9CE2-C6CE

Verzeichnis von c:\

05.01.2006 10:26 87 AUTOEXEC.BAT
15.12.2005 06:55 399.196 bootmgr
07.10.2005 22:01 211 BOOT.BKK
04.08.2004 12:00 4.952 bootfont.bin
04.08.2004 12:00 251.184 ntldr
04.08.2004 12:00 47.564 NTDETECT.COM
04.01.2002 02:54 388 Boot.BAK
03.01.2002 17:30 0 dirdat.txt
01.01.2002 21:46 0 MSDOS.SYS
01.01.2002 21:46 0 IO.SYS
01.01.2002 21:46 0 CONFIG.SYS
01.01.2002 21:02 354 boot.ini
12 Datei(en) 703.936 Bytes
0 Verzeichnis(se), 4.669.874.176 Bytes frei
Datentr„ger in Laufwerk I: ist WINDOWS
Volumeseriennummer: 58EA-4E2F

Verzeichnis von I:\WINDOWS\system32

10.01.2006 08:07 87.808 S32EVNT1.DLL
09.01.2006 18:17 7.006 jupdate-1.5.0_06-b05.log
07.01.2006 13:23 130.096 FNTCACHE.DAT
05.01.2006 10:44 41 blue.SITENAME
05.01.2006 04:41 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
08.12.2005 13:56 65.536 QuickTimeVR.qtx
08.12.2005 13:56 49.152 QuickTime.qts
05.12.2005 06:12 172.032 pxmas.dll
05.12.2005 06:12 56.320 pxinsa64.exe
05.12.2005 06:12 28.672 vxblock.dll
05.12.2005 06:12 61.440 pxhpinst.exe
05.12.2005 06:12 405.504 pxdrv.dll
05.12.2005 06:12 339.968 px.dll
05.12.2005 06:12 339.968 pxwave.dll
05.12.2005 06:12 56.832 pxcpya64.exe
01.12.2005 04:32 1.495.040 shdocvw.dll
24.11.2005 01:39 3.016.192 mshtml.dll
24.11.2005 01:39 1.022.464 browseui.dll
20.11.2005 17:21 1.548.288 sfcfiles.dll
20.11.2005 17:20 15.360 pjlmon.dll
20.11.2005 17:20 51.712 wzcsapi.dll
20.11.2005 17:20 23.552 wdmaud.drv
20.11.2005 17:20 299.008 msh263.drv
20.11.2005 17:20 51.712 cnbjmon.dll
20.11.2005 17:20 35.328 pid.dll
20.11.2005 17:20 17.408 msyuv.dll
20.11.2005 17:20 47.616 iyuv_32.dll
20.11.2005 17:20 359.936 wzcsvc.dll
20.11.2005 17:20 2.059.264 ntkrnlpa.exe
20.11.2005 17:20 59.392 dmutil.dll
20.11.2005 17:20 20.992 hid.dll
20.11.2005 17:19 8.192 tsbyuv.dll
20.11.2005 17:19 3.200 wowfax.dll
20.11.2005 17:19 157.696 paqsp.dll
20.11.2005 17:19 8.192 streamci.dll
20.11.2005 17:19 72.192 sprio800.dll
20.11.2005 17:19 69.632 spnike.dll
20.11.2005 17:19 147.968 mdwmdmsp.dll
20.11.2005 17:19 57.856 dvdplay.exe
20.11.2005 17:19 70.656 sprio600.dll
20.11.2005 17:19 14.336 wowfaxui.dll
20.11.2005 17:10 1.050 mmdriver.inf
20.11.2005 17:10 77.312 usbui.dll
20.11.2005 17:10 76.288 storprop.dll
20.11.2005 17:10 29.184 sdhcinst.dll
20.11.2005 17:10 130.048 ksproxy.ax
20.11.2005 17:10 4.096 ksuser.dll
20.11.2005 17:10 20.992 bthci.dll
20.11.2005 17:10 30.208 bthserv.dll
20.11.2005 16:13 185.344 ipsecsvc.dll
20.11.2005 16:13 124.416 umpnpmgr.dll
20.11.2005 16:13 197.632 netman.dll
20.11.2005 16:13 1.293.312 quartz.dll
20.11.2005 16:13 11.776 xolehlp.dll
20.11.2005 16:13 398.336 rpcss.dll
20.11.2005 16:13 101.376 txflog.dll
20.11.2005 16:13 37.376 olecnv32.dll
20.11.2005 16:13 74.752 olecli32.dll
20.11.2005 16:13 1.286.144 ole32.dll
20.11.2005 16:12 66.560 mtxclu.dll
20.11.2005 16:12 91.136 mtxoci.dll
20.11.2005 16:12 161.280 msdtcuiu.dll
20.11.2005 16:12 945.152 msdtctm.dll
20.11.2005 16:12 425.472 msdtcprx.dll
20.11.2005 16:12 243.200 es.dll
20.11.2005 16:12 540.160 comuid.dll
20.11.2005 16:12 1.267.200 comsvcs.dll
20.11.2005 16:12 97.792 comrepl.dll
20.11.2005 16:12 60.416 colbact.dll
20.11.2005 16:12 498.688 clbcatq.dll
20.11.2005 16:12 625.152 catsrvut.dll
20.11.2005 16:12 110.080 clbcatex.dll
20.11.2005 16:12 225.792 catsrv.dll
20.11.2005 16:12 254.976 icm32.dll
20.11.2005 16:12 73.728 mscms.dll
20.11.2005 16:12 292.352 winsrv.dll
20.11.2005 16:12 24.064 xpsp3res.dll
20.11.2005 16:12 8.493.568 shell32.dll
20.11.2005 16:12 19.968 linkinfo.dll
20.11.2005 16:12 297.984 kerberos.dll
20.11.2005 16:11 1.839.488 win32k.sys
20.11.2005 16:11 137.216 itss.dll
20.11.2005 16:11 155.136 itircl.dll
20.11.2005 16:11 41.472 hhsetup.dll
20.11.2005 16:11 546.304 hhctrl.ocx
20.11.2005 16:11 15.360 msisip.dll
20.11.2005 16:11 884.736 msimsg.dll
20.11.2005 16:11 271.360 msihnd.dll
20.11.2005 16:11 2.890.240 msi.dll
20.11.2005 16:11 78.848 msiexec.exe