msbb.exe kommt beim Starten des OS und will was Drucken

#31 Fix mal folgendes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.w a r e z f a w . c o m / s e a r c h/SearchBar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.w a r e z f a w .c o m
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.w a r e z f a w . c o m/search/SearchBar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://Www.W a r e z F A W . C o m
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
wenn das nicht deine nromale Startseite ist, dann auch fixen.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liwest.at/
MFG
DAFRA

#32 fixen = ?

was muss ich da tun ?

Mfg DjMG

#33 Hi DjMG

Fixen
Ankreuzen in HiJackThis und dann "Fix Checked" Knopf drücken.

Das hier kann auch noch raus
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/228a77e45303e24b3615/netzip/RdxIE601.cab

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#34 Ok

die sachen die du gesagt hast, hab ich gefixt.
Das logfile schaut jetzt so aus:

Logfile of HijackThis v1.97.7
Scan saved at 08:13:09, on 17.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
c:\programme\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\smvss.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SHOUTcast\sc_serv.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Downloads\Hijack this\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liwest.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [MicrosoftOEM] C:\WINDOWS\System32\smvss.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O10 - Broken Internet access because of LSP provider 'rpc32vm.dll' missing
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37998.1734606481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O17 - HKLM\System\CCS\Services\Tcpip\..\{653AD671-CAED-4200-A8C8-8233B2AC2A8A}: NameServer = 212.33.32.160,212.33.55.5



is das in ordnung ?

gruß Dj

#35 Weisst du was das fuer eine Datei ist: C:\WINDOWS\System32\smvss.exe ?

Wenn nein, bitte hier testen: http://www.kaspersky.com/remoteviruschk.html , wenn das immer noch kein Ergebniss gebracht hat, dann die Datei bitte an virus@protecus.de oder an die Adresse aus meinem Profil.
__________
MfG Ralf
SEO-Spam Hunter

#36 Hi
Da steht was drüber
Ist wohl "W32.dedler.worm"
http://www.bytefresser.com/index.php?&forum=353&forumkat=Software&iSideCount=0

hier auch
http://spotlight.de/nzforen/sec/m/sec-1079628750-29532.html

gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#37 Na, da will ich aber noch einen zweiten Namen, denn darueber kann ich nichts finden!
__________
MfG Ralf
SEO-Spam Hunter

#38 das ist bei der Viren-check seite rausgekommen:


Current object: smvss.exe

smvss.exe Packed: UPX
smvss.exe Ok


Statistics:
Known viruses: 86937 Updated: 17.04.2004
File size (Kb): 38 Scan time: 00:00:01
Speed (Kb/sec): 38 Virus bodies: 0
Archives: 0 Packed: 1
Folders: 0 Files: 1
Suspicious: 0 Warnings: 0


MfG Dj

#39 Dann bitte: wenn das immer noch kein Ergebniss gebracht hat, dann die Datei bitte an virus@protecus.de oder an die Adresse aus meinem Profil.

UPX Dateien im Systemverzeichniss sind sehr verdaechtig und dann auch noch mit einem "Microsoft" Eintrag in der Registrierung, das schreit gerade so nach Malware!
__________
MfG Ralf
SEO-Spam Hunter

#40 ist schon an virus@protecus.de verschickt.

Dj