Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Msnmsgr5

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.09.2004, 21:46   #1
bastis
 
Msnmsgr5 - Standard

Msnmsgr5



Ich hab ein neues Laptop mit PCCillin drauf und hab es bis jetzt sehr wenig benutzt.

Seitdem ich mir das SP2 draufgespielt habe, meldet mir die Windows-Firewall, dass ein Programm namens MSNMSGR5 online gehen will.

Nur leider finde ich auf der Festplatte keine einzige Datei, die sich so nennt.

Was könnte das sein?

Alt 25.09.2004, 21:57   #2
Cidre
Administrator, a.D.
 
Msnmsgr5 - Standard

Msnmsgr5



Hallo,

mach mal folgendes:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Danach die MSNMSGR5.exe bei http://www.kaspersky.com/de/remoteviruschk.html und das Ergebnis posten.

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.
__________________

__________________

Alt 25.09.2004, 22:14   #3
bastis
 
Msnmsgr5 - Standard

Msnmsgr5



Die Datei ist übrigens in windows\prefetch drin, falls das wichtig sein sollte.
Und zwar unter der Bezeichnung MSNMSGR5.EXE-3116D921.pf.

Hijackthis hat folgedes ausgespuckt:

Logfile of HijackThis v1.98.2
Scan saved at 23:09:42, on 25.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\index.exe
C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\wuauclt.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\DOKUME~1\xxx\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [REEGRUN] C:\index.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] c:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\RunServices: [MSNMSGR5] MSNMSGR5.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095773479570
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...94/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECAC453E-EFAC-4312-80E6-871583B45BAD}: NameServer = 217.237.151.97 217.237.150.33
__________________

Alt 25.09.2004, 22:23   #4
Cidre
Administrator, a.D.
 
Msnmsgr5 - Standard

Msnmsgr5



Mach mal folgendes:
Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Danach ein neues Log-File von HijackThis und die Virus Log Information von eScan posten.
__________________
Gruß, Cidre


Alt 25.09.2004, 23:42   #5
bastis
 
Msnmsgr5 - Standard

Msnmsgr5



Die eScan-log:

File C:\WINDOWS\system32\MSNMSGR5.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\mt-uninstaller.exe infected by "not-a-virus:AdvWare.PurityScan.u" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Basti\mt-uninstaller.exe infected by "not-a-virus:AdvWare.PurityScan.u" Virus. Action Taken: File Renamed.
File C:\Programme\Trend Micro\PC-cillin 2002\QUARANTINE\backup\bling.RB0 infected by "Win32.Parite.b" Virus. Action Taken: File Disinfected.
File C:\Programme\Trend Micro\PC-cillin 2002\QUARANTINE\backup\bling.RB0 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{33E53C33-A7E3-43E2-87FA-18F4268BEFBC}\RP20\A0005673.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{33E53C33-A7E3-43E2-87FA-18F4268BEFBC}\RP20\A0005674.exe infected by "not-a-virus:AdvWare.PurityScan.u" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{33E53C33-A7E3-43E2-87FA-18F4268BEFBC}\RP20\A0005680.exe infected by "not-a-virus:AdvWare.PurityScan.u" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Temp\installer.exe infected by "not-a-virus:AdvWare.PurityScan.u" Virus. Action Taken: File Renamed.

Logfile of HijackThis v1.98.2
Scan saved at 00:33:00, on 26.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [REEGRUN] C:\index.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] c:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095773479570
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...94/mcfscan.cab


Wenn ich mir dass so anschau ist möglichst schnell ein fröhliches Neuinstallieren angesagt...

Jetzt würd mich nur interessieren, wo ich mir das alles eingefangen habe...

Kann es sein, dass ohne das SP2 bei XP Tür und Tor offen ist und man ohne dies sofort unter Beschuss kommt?


(kann sein, dass diese Frage blöd klingt, aber bis vor kurzem hatte ich bloß Win98)


Alt 25.09.2004, 23:52   #6
*Christian*
Gast
 
Msnmsgr5 - Standard

Msnmsgr5



Naja, eine Neuinstallation ist kein Schaden, zumal es die sichereste und saubereste Lösung ist.

SP2 ist auf jeden Fall den SP1 zu bevorzugen.


Gehe wie folgt vor:
1.) Neu formatieren und installieren

2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen

3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren

4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org

5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren

6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen, www.firefox-browser.de

7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)

8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können

9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen

10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten.


Vergesse nicht ständig up-to-date sein www.windowsupdate.com und dei PC-Cillin wieder zu aktivieren.

Alt 26.09.2004, 00:01   #7
bastis
 
Msnmsgr5 - Standard

Msnmsgr5



Vielen Dank für die Tips.

Jetzt hab ich in dem Forum folgenden Link gefunden:
http://oschad.de/wiki/index.php/Kompromittierung

Dort steht, dass es nicht schadet, den Bootsektor zu überschreiben.

Geh ich recht in der Annahme, dass dies bei einer Neuinstallation automatisch geschieht?

Antwort

Themen zu Msnmsgr5
datei, einzige, festplatte, laptop, melde, meldet, namens, neues, online, pccillin, platte, programm, sp2, wenig, windows-firewall



Zum Thema Msnmsgr5 - Ich hab ein neues Laptop mit PCCillin drauf und hab es bis jetzt sehr wenig benutzt. Seitdem ich mir das SP2 draufgespielt habe, meldet mir die Windows-Firewall, dass ein Programm - Msnmsgr5...
Archiv
Du betrachtest: Msnmsgr5 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.