Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: "mspath.exe ist böse". Wer steckt dahinter?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 28.06.2006, 15:56   #1
rosine
 
"mspath.exe ist böse". Wer steckt dahinter? - Frage

"mspath.exe ist böse". Wer steckt dahinter?



Hallo!

Die online-Diagnose des hijackthis-Logfiles markierte den service mspath.exe als böse. Das file zu dem angegebenen Pfad gibt es gar nicht ("D:\WINNT\mspath.exe (file missing)"). Nennt man das Teil, das "mspath.exe" startet einen Trojaner? Und wie finde ich es und wie entferne ich es? Was sollte ich jetzt tun?

Gibt es in dem Logfile hier unten noch weitere Probleme?

Vielen Dank im voraus!

rosine

Logfile of HijackThis v1.99.1
Scan saved at 16:02:14, on 28.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\Symantec AntiVirus\DefWatch.exe
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\Programme\MultiNetworkManager\NTx\GSBootTimeSrv.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
D:\WINNT\system32\nvsvc32.exe
D:\Programme\Symantec AntiVirus\SavRoam.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\Programme\Symantec AntiVirus\Rtvscan.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
D:\WINNT\system32\CCM\CcmExec.exe
D:\WINNT\system32\msiexec.exe
D:\WINNT\Explorer.EXE
D:\WINNT\system32\PRPCUI.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\PROGRA~1\SYMANT~1\VPTray.exe
D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Ahead\InCD\InCD.exe
D:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
D:\WINNT\system32\internat.exe
D:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
D:\Programme\MultiNetworkManager\NTx\MNMCtrl.exe
D:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] D:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] D:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MNM] "D:\Programme\MultiNetworkManager\NTx\MNetMgr.exe" -SysTray
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = D:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
O8 - Extra context menu item: &Google-Suche - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://D:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129623558250
O20 - Winlogon Notify: mnm_7_bta - D:\WINNT\SYSTEM32\MNMEventNotify.dll
O20 - Winlogon Notify: NavLogon - D:\WINNT\system32\NavLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - D:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: GSBootTimeSrv - GlobeSoft AB - D:\Programme\MultiNetworkManager\NTx\GSBootTimeSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - D:\WINNT\mspath.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINNT\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - D:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - D:\Programme\Symantec AntiVirus\Rtvscan.exe

Alt 28.06.2006, 17:40   #2
Sunny
Administrator
> Competence Manager
 

"mspath.exe ist böse". Wer steckt dahinter? - Standard

"mspath.exe ist böse". Wer steckt dahinter?



Hallo,

hast du den irgendwelche Probleme mit deinem Rechner, oder wie kommst du darauf ein HijackLog zu erstellen...
Zitat:
Die online-Diagnose des hijackthis-Logfiles markierte den service mspath.exe als böse.
Die mspath.exe gehört zu diesem Trojaner --> BackDoor.SdBot Trojan

Führe einen eScan aus, sowie den Scan von F-Secure Blacklight. Poste anschliessend das Ergebnis beider Scan´s..

Gruß
Daniel
__________________

__________________

Alt 28.06.2006, 21:41   #3
rosine
 
"mspath.exe ist böse". Wer steckt dahinter? - Standard

"mspath.exe ist böse". Wer steckt dahinter?



Hallo Daniel,

danke schon mal.

Nein, ich habe keine konkreten Probleme mit dem Rechner. Er ist nur ewig langsam und war das eigentlich auch schon früher immer.

escan:
=====

Das Virus Log Information Fenster zeigte:

Object "alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zlob Trojan-Downloader" found in File System! Action Taken: No Action Taken.
Object "zlob Trojan-Downloader" found in File System! Action Taken: No Action Taken.

Das Ende des MWAV.LOG liest sich so:


Wed Jun 28 21:38:45 2006 => ***** Scanning complete. *****

Wed Jun 28 21:38:45 2006 => Total Objects Scanned: 13508
Wed Jun 28 21:38:45 2006 => Total Critical Objects: 4
Wed Jun 28 21:38:45 2006 => Total Disinfected Objects: 0
Wed Jun 28 21:38:45 2006 => Total Objects Renamed: 0
Wed Jun 28 21:38:45 2006 => Total Deleted Objects: 0
Wed Jun 28 21:38:45 2006 => Total Errors: 2
Wed Jun 28 21:38:45 2006 => Time Elapsed: 00:07:21
Wed Jun 28 21:38:46 2006 => Virus Database Date: 6/28/2006
Wed Jun 28 21:38:46 2006 => Virus Database Count: 203462

Wed Jun 28 21:38:46 2006 => Scan Completed.

Wed Jun 28 21:49:15 2006 => Virus Database Date: 6/28/2006
Wed Jun 28 21:49:15 2006 => Virus Database Count: 203462
Wed Jun 28 21:49:31 2006 => AV Library Unloaded (3)...




4 critical objects und 2 errors durch escan gefunden. Ich stelle gerade fest, dass ich das komplette MWAV.LOG nicht posten kann, weil mit 95 kB zu gross. Ansonsten:

Der 1. error in MWAV:

Wed Jun 28 21:31:49 2006 => Scanning HKCU\Control Panel\Desktop
Wed Jun 28 21:31:49 2006 => ERROR!!! Invalid Entry SCRNSAVE.EXE = (Kein) (in key Control Panel\Desktop). No Action Taken.

Der 2. error ist der schon bekannte:

Wed Jun 28 21:31:59 2006 => ERROR!!! Invalid Entry "D:\WINNT\mspath.exe" in SYSTEM\CurrentControlSet\Services\MSpath...

Ich weiss nicht, wie ich das LOG zu den 4 critical objects finde. Ist es nötig. die in MWAV aufzuspüren? wie mache ich das?

Blacklight:
========

fand keinen Fehler.
Logfile:

06/28/06 21:59:00 [Info]: BlackLight Engine 1.0.41 initialized
06/28/06 21:59:00 [Info]: OS: 5.0 build 2195 (Service Pack 4)
06/28/06 21:59:01 [Note]: 7019 4
06/28/06 21:59:01 [Note]: 7005 0
06/28/06 21:59:15 [Note]: 7006 0
06/28/06 21:59:15 [Note]: 7011 388
06/28/06 21:59:16 [Note]: 7026 0
06/28/06 21:59:16 [Note]: 7026 0
06/28/06 21:59:27 [Note]: FSRAW library version 1.7.1018
06/28/06 22:11:18 [Note]: 7007 0

Ich bitte um weitere Kommentare und Reinigungs-Tipps!

Danke,

rosine
__________________

Alt 28.06.2006, 21:50   #4
felix1
/// Helfer-Team
 
"mspath.exe ist böse". Wer steckt dahinter? - Standard

"mspath.exe ist böse". Wer steckt dahinter?



Was das Posten des Ergnisses vom escan betrifft, lese mal die Anleitung bis zum Ende. Die find.bat von haui45 ist interessant.
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 29.06.2006, 00:09   #5
rosine
 
"mspath.exe ist böse". Wer steckt dahinter? - Standard

"mspath.exe ist böse". Wer steckt dahinter?



Zitat:
Zitat von felix1
escan [...], lese mal die Anleitung bis zum Ende.
Danke für den Tipp. Hier kommt das Ergebnis von Hauis find.bat (escan_neu.txt):


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Jun 28 21:32:29 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed Jun 28 21:32:29 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Jun 28 21:38:45 2006 => Total Errors: 2
Wed Jun 28 21:38:45 2006 => Time Elapsed: 00:07:21
Wed Jun 28 21:38:45 2006 => Total Objects Scanned: 13508
Wed Jun 28 21:20:16 2006 => Virus Database Date: 6/27/2006
Wed Jun 28 21:24:39 2006 => Virus Database Date: 6/28/2006
Wed Jun 28 21:31:05 2006 => Virus Database Date: 6/28/2006
Wed Jun 28 21:38:46 2006 => Virus Database Date: 6/28/2006
Wed Jun 28 21:49:15 2006 => Virus Database Date: 6/28/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Alt 29.06.2006, 00:33   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"mspath.exe ist böse". Wer steckt dahinter? - Standard

"mspath.exe ist böse". Wer steckt dahinter?



eScan findet keine verdächtigen Dateien (außer den Registrykrams), d.h. aber nicht, dass Dein System nicht kompromittiert ist. Ein Virenscanner (hier eScan) bemerkt nicht, ob Systemdateien durch den Backdoor (Sdbot) verändert wurden. Das ganze steht also alles auf wackligen Füßen.

Zitat:
D:\WINNT\SYSTEM32\MNMEventNotify.dll
Außerdem ist mir auch diese Datei aufgefallen. Werte die doch mal bei Virustotal aus.
__________________
--> "mspath.exe ist böse". Wer steckt dahinter?

Alt 29.06.2006, 01:24   #7
rosine
 
"mspath.exe ist böse". Wer steckt dahinter? - Standard

"mspath.exe ist böse". Wer steckt dahinter?



D:\WINNT\SYSTEM32\MNMEventNotify.dll....
...ist laut Virustotal sauber. Gehört wohl zur MultiNetworkManager Utility.

Apropos Registrykrams:
Ich hab per Google rausgefunden, dass diese "alexa spyware" Meldung mit einem Eintrag in der Registry, einem Schlüssel {c95fe080-8f5d-11d2-a20b-00aa003c157a}, zu tun hat, den ich in der Registry auch gefunden habe. Den kann ich einfach löschen, oder?

Registrykrams 2:
Bedeutet die Fehlermeldung
Zitat:
Wed Jun 28 21:31:59 2006 => ERROR!!! Invalid Entry "D:\WINNT\mspath.exe" in SYSTEM\CurrentControlSet\Services\MSpath...
auch, dass "nur" ein Registry-Eintrag falsch ist? D.h. einen Prozess, der unter dem Namen mspath.exe läuft, gibt es gar nicht? (Der Taskmanager jedenfalls sieht keinen.) HijackThis meinte dazu:
Zitat:
O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - D:\WINNT\mspath.exe (file missing)
Resumee:

Was richtig Schädliches läuft also nicht auf meinem Rechner, allerdings zeigt "mspath.exe" an, dass sdbot zugeschlagen hat, das System kompromittiert ist. Ich sollte also Neuinstallieren?

Alt 29.06.2006, 01:43   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"mspath.exe ist böse". Wer steckt dahinter? - Standard

"mspath.exe ist böse". Wer steckt dahinter?



Es lässt sich nicht genau sagen, ob eine Infektion überhaupt stattgefunden hat, ist aber recht wahrscheinlich, denn sonst wäre der Eintrag ja auch nicht da
Das sicherste ist auf jeden Fall ein Neuaufsetzen, der jetzige Zustand der Kiste ist ungewiß. Außerdem sagtest Du ja auch, Dein System sei sehr langsam, mit dem Neuaufsetzen kannst Du Dich von Altlasten befreien.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.07.2006, 22:51   #9
rosine
 
"mspath.exe ist böse". Wer steckt dahinter? - Icon24

"mspath.exe ist böse". Wer steckt dahinter?



Oooops, da ist mir ja ein dämlicher Fehler unterlaufen!!!!
Ich habe escan fehlbedient und den Scan aller Dateien, der längst noch nicht abgeschlossen war, abgebrochen, weil die Programmoberfläche so "untätig" aussah. Naja. Sorry für die falschen Informationen.

Nach dem vollständigen Scan (2.5 h am 30.6.) waren dann doch zwei Trojaner von escan aufgefunden:

File D:\WINNT\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab"
und
File E:\***Eudora\Embedded\administratrix.GIF infected by "Trojan-Spy.HTML.Bayfraud.in"

administratrix.GIF hab' ich so gelöscht; ...system32\i habe ich mit Killbox entfernt.

Dann habe ich heute (2.7.) erneut einen teilweisen Scan (nur "das Übliche bei escan" und WINNT) durchgeführt.
1. \WINNT scheint jetzt O.K. zu sein.
2. Es ward noch ein Trojaner-Problem gefunden:
System found infected with zlob Trojan-Downloader (install.exe)!

Hier nun der eScan von heute (2.7.) ausgewertet:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Jul 02 22:51:13 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sun Jul 02 22:51:52 2006 => System found infected with zlob Trojan-Downloader (install.exe)! Action taken: No Action Taken.
Sun Jul 02 22:51:56 2006 => System found infected with zlob Trojan-Downloader (install.exe)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Jul 02 22:51:52 2006 => Offending file found: E:\***eudora\eudora attachments\install.exe
Sun Jul 02 22:51:56 2006 => Offending file found: E:\***eudora\eudora attments 2005\install.exe
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Jul 02 23:11:50 2006 => Total Errors: 2
Sun Jul 02 23:11:50 2006 => Time Elapsed: 00:21:21
Sun Jul 02 23:11:50 2006 => Total Objects Scanned: 21138
Sun Jul 02 22:49:56 2006 => Virus Database Date: 6/28/2006
Sun Jul 02 23:11:50 2006 => Virus Database Date: 6/28/2006
Sun Jul 02 23:15:06 2006 => Virus Database Date: 6/28/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Die beiden "install.exe", die mit dem zlob Trojan Downloader korrespondieren, habe ich nun auch gelöscht. Ein abgekürzter eScan meldete daraufhin auch nix mehr ausser dem blöden alexa Spyware-Kram.

Frage: Ich habe den Eindruck, dass der zlob Trojan Downloader nur dann detektiert wird, wenn eScan im absicherten Modus ausgeführt wird. Kann das sein?

Durch Eure Kommentare und die schöne eScan-Anleitung von Cidre habe ich einiges gelernt und hoffe, dass ich nunmehr einen spionagefreien Rechner habe. Danke!!!!

Alt 03.07.2006, 11:48   #10
irrlicht
 
"mspath.exe ist böse". Wer steckt dahinter? - Standard

"mspath.exe ist böse". Wer steckt dahinter?



Hallo rosine,
Das hier :
Zitat:
E:\***eudora\eudora attachments\install.exe
dürte dein EMail-Programm sein.Da war wohl ein Anhang dabei den du vermutlich ausgeführt hast.
Daher auch diese Einträge :
Zitat:
File D:\WINNT\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab"
und
File E:\***Eudora\Embedded\administratrix.GIF infected by "Trojan-Spy.HTML.Bayfraud.in"
das hat dann eventuell den Zlob Mist nachgezogen.
Wie Cosinus schon treffend bemerkte,ist ein Neuaufsetzen des Systems die beste aller Möglichkeiten.
Da dir die Anleitung zu EScan schon gefallen hat,wird dich Cidre`s Anleitung zur Neuinstallation begeistern.
Du findest sie in der gleichen Ecke,in der auch EScan ist.
Irrlicht

Antwort

Themen zu "mspath.exe ist böse". Wer steckt dahinter?
adobe, antivirus, askbar, bho, computer, cyberlink, dateien, drivers, excel, explorer, google, hijack, internet, internet explorer, microsoft, nvidia, pdf, programme, rundll, rundll32.exe, seite, settings manager, software, solution, symantec, system, system32, trojaner, trojaner?, windows



Ähnliche Themen: "mspath.exe ist böse". Wer steckt dahinter?


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Dateien auf dem Desktop werden beim bearbeiten gelöscht. Was steckt dahinter?
    Plagegeister aller Art und deren Bekämpfung - 12.12.2014 (1)
  3. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  4. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  5. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  6. Laptop sehr langsam, steckt ein Virus o.Ä. dahinter?
    Plagegeister aller Art und deren Bekämpfung - 05.03.2012 (1)
  7. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  8. Avira findet 20 versteckte Objekte! Steckt dahinter ein Rootkit?
    Mülltonne - 06.04.2010 (1)
  9. Logfile Auswertung: steckt Virus w 32 dahinter?
    Log-Analyse und Auswertung - 25.01.2009 (2)
  10. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  11. C:\WINDOWS\9129837.exe - Welcher Trojaner steckt dahinter?
    Log-Analyse und Auswertung - 14.06.2007 (8)
  12. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
  13. Rechner extrem langsam, CPU-Auslastung hoch, Steckt Trojaner dahinter? soundman.exe
    Log-Analyse und Auswertung - 30.12.2005 (2)
  14. Sind diese Dateien "BÖSE"??? Hilfe!!! HijackThis:..
    Antiviren-, Firewall- und andere Schutzprogramme - 29.08.2005 (6)
  15. Kennt jemand solche E-Mails und was steckt dahinter?
    Plagegeister aller Art und deren Bekämpfung - 19.05.2005 (0)
  16. wer kann helfen, nur "böse" Dinge auf meinem Rechner
    Log-Analyse und Auswertung - 28.11.2004 (44)
  17. Was steckt da dahinter ? "sofort zum xxxxx tv karte Forum"
    Plagegeister aller Art und deren Bekämpfung - 31.12.2003 (11)

Zum Thema "mspath.exe ist böse". Wer steckt dahinter? - Hallo! Die online-Diagnose des hijackthis-Logfiles markierte den service mspath.exe als böse. Das file zu dem angegebenen Pfad gibt es gar nicht ("D:\WINNT\mspath.exe (file missing)"). Nennt man das Teil, das "mspath.exe" - "mspath.exe ist böse". Wer steckt dahinter?...
Archiv
Du betrachtest: "mspath.exe ist böse". Wer steckt dahinter? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.