msbb.exe kommt beim Starten des OS und will was Drucken

#0
27.02.2004, 12:06
Moderator

Beiträge: 7805
#16 Das sieht an sich nicht schlecht aus, nur solltest du dich fuer einen Antivirenguard entscheiden. Ich wuerde den von Antivir deaktivieren und ihn nur zum gelegentlichen scannen von Downloads, bzw zum scannen des kompletten Rechners.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.02.2004, 12:17
...neu hier

Beiträge: 4
#17 hmmmm aber antivir hat im gegensatz mc afee meine ständig auftauchenden msbb.exe Freunde gefunden. Ist das wirklich eine gute Idee?
Seitenanfang Seitenende
27.02.2004, 12:47
Moderator

Beiträge: 7805
#18 msbb.exe ist im eigentlichen Sinne auch kein Virus sondern mehr Spy/Adware, da faehrst du mit Adarware/Spybot besser. Mcafee ist staerker im Bereich Trojaner/Backdoor/Wuermer. Ich will es dir aber natuerlich nicht vorschreiben, du kannst es natuerlich auch anders herum machen, wie ich es vorgeschlagen habe. ;)

Die neueren Versionen von Mcafee haben auch die Moeglichkeit, nach Adware zu suchen, nur leider weiss ich so nicht wo genau man das einstellen kann.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.02.2004, 12:54
...neu hier

Beiträge: 4
#19 OK Antivir ist jetzt ausgeschaltet. Vielen vielen Dank für deine Hilfe und ein dreifaches Hurra auf alle die in diesen Computerforen den armen irrenden Computeranfängern helfen.
Seitenanfang Seitenende
27.02.2004, 13:25
Member
Avatar Dafra

Beiträge: 1122
#20 Nein, Anti Vir schon anlassen, aber auch ab und zu mal nach Spyware scannen.
Seitenanfang Seitenende
27.02.2004, 14:36
Moderator

Beiträge: 7805
#21 Dann muss Mcafee aber deaktiviert werden, sonst "beissen" sich die beiden.

Das kannst du am besten mal mit dem Eicar testfile testen. Lade dir hier das Eicar.com herunter, dann sollte sich der Virenscanner melden. Wenn nicht, mal einfach starten. Wenn er sich dann noch nicht gemeldet haben sollte, hier nochmal nachaken.

http://www.eicar.org/anti_virus_test_file.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.02.2004, 14:39
Member
Avatar Dafra

Beiträge: 1122
#22 Jo das ist klar, man sollte immer einen AV haben, aber nie 2.
MFG
DAFRA
Seitenanfang Seitenende
27.02.2004, 21:42
...neu hier

Beiträge: 1
#23 Hallo erstmal!
Ich hatte msbb.exe auf m Rechner, bin dann über Google
auf eurer Webpage gelandet und habe eure 1.Hilfe Ratschläge
so gut ich konnte befolgt (adaware,spybot,cws,hijack..),
glaube aber nicht alle "Spy's" losgeworden zu sein?
by the way: werde mich asap'st mit Schutzsoftware ausstatten!!
Betriebssyst: Windows2000
100Dank für Hilfe - Hier mein HiJack Log:


Logfile of HijackThis v1.97.7
Scan saved at 9:28:46 PM, on 2/27/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\PROGRA~1\AMOKAB~1\FUNKMETAGREAT.exe
C:\WINNT\system32\internat.exe
C:\Programme\Ulead Systems\Ulead PhotoImpact 6\ABMTSR.EXE
C:\WINNT\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\cidaemon.exe
C:\Dokumente und Einstellungen\Alex\Eigene Dateien\software\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.:8088
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - Global Startup: Album Schnellstart.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 6\ABMTSR.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Microsoft Excel'e Gö&nder - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38042.5460300926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
27.02.2004, 21:47
Moderator

Beiträge: 7805
#24 Ich weiss nicht, ob du es benutzt, aber sonst wirf das auch noch raus:
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"


Wie? = http://www.pchell.com/support/peopleonpage.shtml
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.03.2004, 12:57
...neu hier

Beiträge: 1
#25 Hallo,
ich habe heute auch Bekanntschaft mit der msbb.exe gemacht. Bin dann durchs googlen in eurem Forum gelandet und habe mich gleich mal registriert! Eure Ratschläge bezüglich Ad Aware und SPybot habe ich befolgt und jegliche dort gefundene Spyware gelöscht. Zur Sicherheit wollte ich noch mal Hijackthis laufen lassen. Ist die Log soweit i.O.?

Logfile of HijackThis v1.97.7
Scan saved at 12:58:25, on 21.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Dls\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63F1DB3F-EC8D-4819-BD3C-BD3446A8A1C7}: NameServer = 217.5.100.100 194.25.2.129


Ich danke euch schon jetzt vielmals im Voraus!

bye

edit: Mir fällt gerade auf, dass Ati irgendwie 2 mal auftaucht. Einmal beim "System" und ein zweites Mal bei meinem Benutzerkonto. Geht das klar, oder sollte man eins kicken?
thx!
Dieser Beitrag wurde am 21.03.2004 um 13:00 Uhr von NakAa editiert.
Seitenanfang Seitenende
22.03.2004, 22:23
...neu hier

Beiträge: 1
#26 Hallo zusammen,
zuerst dachte ich, mein Popupblocker hätte vor der Flut der Popup's resigniert, aber dann fand Google diese Seite und ich habe Eure Tipps befolgt, meinen Rechner mit Adaware und HijackThis durchsucht und das ist das Ergebnis:


Logfile of HijackThis v1.97.7
Scan saved at 22:22:47, on 22.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
E:\NORTON~1\NORTON~2\GHOSTS~2.EXE
E:\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
E:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
E:\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
C:\Dokumente und Einstellungen\Wolf\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - E:\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Allow Popups - C:\Programme\Meaya\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



CWShredder:
CWShredder v1.53.4 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows XP (5.01.2600 )
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\system32
AppData folder: C:\Dokumente und Einstellungen\Wolf\Anwendungsdaten
Username: Wolf

Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (820 bytes, A)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Registry value: DefaultPrefix (should be http://) [] http://
Registry value: WWW Prefix (should be http://) [www] http://
Registry value: Mosaic Prefix (should be http://) [mosaic] http://
Registry value: Home Prefix (should be http://) [home] http://
Found Win.ini file: C:\WINDOWS\win.ini (790 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (227 bytes, A)

- END OF REPORT -


Kann mir jemand sagen, ob ich jetzt immer noch befallen bin? Meiner Meinung nach sieht es doch ganz gut aus.
Dieser Beitrag wurde am 22.03.2004 um 22:35 Uhr von koenig[wolf] editiert.
Seitenanfang Seitenende
12.04.2004, 23:39
...neu hier

Beiträge: 1
#27 hi leutz

ich hatte auch diese problem mit msbb.exe und n kollege meinte ich soll hier ma reinschauen. ich hab ad-aware- spybot und so durchlaufen lassen, da wollt ich doch ma fragen ob meine log auch in ordnung is ;) thx nochma für die vielen tips ;)

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 23:32:56, on 12.04.14
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\KERIO\PERSONAL FIREWALL\PERSFW.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
C:\PROGRAMME\NO-IP\DUC20.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\WEBSCANX.EXE
C:\PROGRAMME\INTERNET DOWNLOAD MANAGER\IDMAN.EXE
F:\WEISSERADLER-SCRIPT_1.071\WEISSERADLER-SCRIPT 1.071\WEISSERADLER-SCRIPT.EXE
C:\PROGRAMME\FLASHFXP\FLASHFXP.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cdc-forum.de/GiZzY/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\SYSTEM\BRIDGE.DLL
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\PROGRAMME\INTERNET DOWNLOAD MANAGER\IDMIECC.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programme\Network Associates\VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [PersFw] "C:\Programme\Kerio\Personal Firewall\persfw.exe" /hide
O4 - Startup: No-IP DUC.lnk = C:\Programme\No-IP\DUC20.exe
O8 - Extra context menu item: Download All Links with IDM - C:\PROGRAMME\INTERNET DOWNLOAD MANAGER\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\PROGRAMME\INTERNET DOWNLOAD MANAGER\IEExt.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O10 - Unknown file in Winsock LSP: c:\windows\system\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\idmmbc.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
ach ja ich hab noch windoof 98 se
Dieser Beitrag wurde am 12.04.2004 um 23:41 Uhr von GiZzY editiert.
Seitenanfang Seitenende
15.04.2004, 14:27
...neu hier

Beiträge: 7
#28 Hi !!


Leute, ihr seit ehct [color="red"]SPITZE ![/color]
einfach genial.

wieso kennt ihr euch so gut aus ? wo lernt man das ? ;)


Also ich hab auch Probleme mit Adware programmen usw. gehabt,
und mir so die msbb.exe fehler und andere Probleme zugezogen.

Jetzt hab ich die Programme CW Shredder, dann Spy bot, und ad-aware und zuguterletzt mein McAfee durchchecken lassen, und hab so einiges (!!) gefunden.
Danach Hijack, und er gibt mir dieses Log-file.

Könnte sich das einer anschaun, und sagen ob's O.K. ist ?



Logfile of HijackThis v1.97.7
Scan saved at 14:22:08, on 15.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Downloads\Hijack this\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.war*hier nicht!*.com/search/SearchBar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.war*hier nicht!*.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liwest.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.war*hier nicht!*.com/search/SearchBar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://Www.war*hier nicht!*.Com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O10 - Broken Internet access because of LSP provider 'rpc32vm.dll' missing
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/228a77e45303e24b3615/netzip/RdxIE601.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37998.1734606481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O17 - HKLM\System\CCS\Services\Tcpip\..\{653AD671-CAED-4200-A8C8-8233B2AC2A8A}: NameServer = 212.33.32.160,212.33.55.5



Vielen Vielen Dank schon mal im Vorraus.
MfG
DjMG
Seitenanfang Seitenende
15.04.2004, 14:36
Member

Beiträge: 1095
#29 HI DjMG

Die Forumssoftware ersetzt hier wohl das Original
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.war*hier nicht!*.com/search/SearchBar.php

Poste mal bitte was bei dir für *hier nicht!* steht, aber mit "Blanks" dazwischen.
So etwa <F O R U M>

gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
15.04.2004, 16:34
...neu hier

Beiträge: 7
#30 Mach ich doch glatt ! *gg*

also hier die log-file, nur dass die adresse jetzt mit leerzeichen geschrieben ist.





Logfile of HijackThis v1.97.7
Scan saved at 16:29:38, on 15.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\SHOUTcast\sc_serv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Downloads\Hijack this\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.w a r e z f a w . c o m / s e a r c h/SearchBar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.w a r e z f a w .c o m
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liwest.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.w a r e z f a w . c o m/search/SearchBar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://Www.W a r e z F A W . C o m
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O10 - Broken Internet access because of LSP provider 'rpc32vm.dll' missing
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/228a77e45303e24b3615/netzip/RdxIE601.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37998.1734606481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O17 - HKLM\System\CCS\Services\Tcpip\..\{653AD671-CAED-4200-A8C8-8233B2AC2A8A}: NameServer = 212.33.32.160,212.33.55.5




DANKE, paff,...oder wer auch immer das log-file kontrolliert .

MfG Uli
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: