msbb.exe kommt beim Starten des OS und will was Drucken |
||
---|---|---|
#0
| ||
15.04.2004, 17:25
Member
Beiträge: 1122 |
||
|
||
15.04.2004, 18:56
...neu hier
Beiträge: 7 |
||
|
||
16.04.2004, 09:31
Member
Beiträge: 1095 |
#33
Hi DjMG
Fixen Ankreuzen in HiJackThis und dann "Fix Checked" Knopf drücken. Das hier kann auch noch raus O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/228a77e45303e24b3615/netzip/RdxIE601.cab Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
17.04.2004, 08:15
...neu hier
Beiträge: 7 |
#34
Ok
die sachen die du gesagt hast, hab ich gefixt. Das logfile schaut jetzt so aus: Logfile of HijackThis v1.97.7 Scan saved at 08:13:09, on 17.04.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe c:\programme\mcafee.com\agent\mcagent.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\System32\smvss.exe C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\SHOUTcast\sc_serv.exe C:\Programme\Winamp\winamp.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Downloads\Hijack this\hjt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liwest.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [MicrosoftOEM] C:\WINDOWS\System32\smvss.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O10 - Broken Internet access because of LSP provider 'rpc32vm.dll' missing O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37998.1734606481 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312 O17 - HKLM\System\CCS\Services\Tcpip\..\{653AD671-CAED-4200-A8C8-8233B2AC2A8A}: NameServer = 212.33.32.160,212.33.55.5 is das in ordnung ? gruß Dj |
|
|
||
17.04.2004, 08:30
Moderator
Beiträge: 7805 |
#35
Weisst du was das fuer eine Datei ist: C:\WINDOWS\System32\smvss.exe ?
Wenn nein, bitte hier testen: http://www.kaspersky.com/remoteviruschk.html , wenn das immer noch kein Ergebniss gebracht hat, dann die Datei bitte an virus@protecus.de oder an die Adresse aus meinem Profil. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.04.2004, 11:47
Member
Beiträge: 1095 |
#36
Hi
Da steht was drüber Ist wohl "W32.dedler.worm" http://www.bytefresser.com/index.php?&forum=353&forumkat=Software&iSideCount=0 hier auch http://spotlight.de/nzforen/sec/m/sec-1079628750-29532.html gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 17.04.2004 um 11:50 Uhr von paff editiert.
|
|
|
||
17.04.2004, 12:08
Moderator
Beiträge: 7805 |
#37
Na, da will ich aber noch einen zweiten Namen, denn darueber kann ich nichts finden!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.04.2004, 12:24
...neu hier
Beiträge: 7 |
#38
das ist bei der Viren-check seite rausgekommen:
Current object: smvss.exe smvss.exe Packed: UPX smvss.exe Ok Statistics: Known viruses: 86937 Updated: 17.04.2004 File size (Kb): 38 Scan time: 00:00:01 Speed (Kb/sec): 38 Virus bodies: 0 Archives: 0 Packed: 1 Folders: 0 Files: 1 Suspicious: 0 Warnings: 0 MfG Dj |
|
|
||
17.04.2004, 12:42
Moderator
Beiträge: 7805 |
#39
Dann bitte: wenn das immer noch kein Ergebniss gebracht hat, dann die Datei bitte an virus@protecus.de oder an die Adresse aus meinem Profil.
UPX Dateien im Systemverzeichniss sind sehr verdaechtig und dann auch noch mit einem "Microsoft" Eintrag in der Registrierung, das schreit gerade so nach Malware! __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 17.04.2004 um 12:43 Uhr von raman editiert.
|
|
|
||
17.04.2004, 13:25
...neu hier
Beiträge: 7 |
||
|
||
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.w a r e z f a w . c o m / s e a r c h/SearchBar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.w a r e z f a w .c o m
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.w a r e z f a w . c o m/search/SearchBar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://Www.W a r e z F A W . C o m
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
wenn das nicht deine nromale Startseite ist, dann auch fixen.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liwest.at/
MFG
DAFRA