msbb.exe kommt beim Starten des OS und will was Drucken

#0
15.04.2004, 17:25
Member
Avatar Dafra

Beiträge: 1122
#31 Fix mal folgendes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.w a r e z f a w . c o m / s e a r c h/SearchBar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.w a r e z f a w .c o m
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.w a r e z f a w . c o m/search/SearchBar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://Www.W a r e z F A W . C o m
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
wenn das nicht deine nromale Startseite ist, dann auch fixen.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liwest.at/
MFG
DAFRA
Seitenanfang Seitenende
15.04.2004, 18:56
...neu hier

Beiträge: 7
#32 fixen = ?

was muss ich da tun ?

Mfg DjMG
Seitenanfang Seitenende
16.04.2004, 09:31
Member

Beiträge: 1095
#33 Hi DjMG

Fixen
Ankreuzen in HiJackThis und dann "Fix Checked" Knopf drücken.

Das hier kann auch noch raus
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/228a77e45303e24b3615/netzip/RdxIE601.cab

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
17.04.2004, 08:15
...neu hier

Beiträge: 7
#34 Ok

die sachen die du gesagt hast, hab ich gefixt.
Das logfile schaut jetzt so aus:

Logfile of HijackThis v1.97.7
Scan saved at 08:13:09, on 17.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
c:\programme\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\smvss.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SHOUTcast\sc_serv.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Downloads\Hijack this\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liwest.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [MicrosoftOEM] C:\WINDOWS\System32\smvss.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O10 - Broken Internet access because of LSP provider 'rpc32vm.dll' missing
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37998.1734606481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O17 - HKLM\System\CCS\Services\Tcpip\..\{653AD671-CAED-4200-A8C8-8233B2AC2A8A}: NameServer = 212.33.32.160,212.33.55.5



is das in ordnung ?

gruß Dj
Seitenanfang Seitenende
17.04.2004, 08:30
Moderator

Beiträge: 7805
#35 Weisst du was das fuer eine Datei ist: C:\WINDOWS\System32\smvss.exe ?

Wenn nein, bitte hier testen: http://www.kaspersky.com/remoteviruschk.html , wenn das immer noch kein Ergebniss gebracht hat, dann die Datei bitte an virus@protecus.de oder an die Adresse aus meinem Profil.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
17.04.2004, 11:47
Member

Beiträge: 1095
#36 Hi
Da steht was drüber
Ist wohl "W32.dedler.worm"
http://www.bytefresser.com/index.php?&forum=353&forumkat=Software&iSideCount=0

hier auch
http://spotlight.de/nzforen/sec/m/sec-1079628750-29532.html

gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 17.04.2004 um 11:50 Uhr von paff editiert.
Seitenanfang Seitenende
17.04.2004, 12:08
Moderator

Beiträge: 7805
#37 Na, da will ich aber noch einen zweiten Namen, denn darueber kann ich nichts finden!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
17.04.2004, 12:24
...neu hier

Beiträge: 7
#38 das ist bei der Viren-check seite rausgekommen:


Current object: smvss.exe

smvss.exe Packed: UPX
smvss.exe Ok


Statistics:
Known viruses: 86937 Updated: 17.04.2004
File size (Kb): 38 Scan time: 00:00:01
Speed (Kb/sec): 38 Virus bodies: 0
Archives: 0 Packed: 1
Folders: 0 Files: 1
Suspicious: 0 Warnings: 0


MfG Dj
Seitenanfang Seitenende
17.04.2004, 12:42
Moderator

Beiträge: 7805
#39 Dann bitte: wenn das immer noch kein Ergebniss gebracht hat, dann die Datei bitte an virus@protecus.de oder an die Adresse aus meinem Profil.

UPX Dateien im Systemverzeichniss sind sehr verdaechtig und dann auch noch mit einem "Microsoft" Eintrag in der Registrierung, das schreit gerade so nach Malware!
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 17.04.2004 um 12:43 Uhr von raman editiert.
Seitenanfang Seitenende
17.04.2004, 13:25
...neu hier

Beiträge: 7
#40 ist schon an virus@protecus.de verschickt.

Dj
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: