Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Was ist mrtstub.exe?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.12.2005, 08:31   #1
nullpeiler
 
Was ist mrtstub.exe? - Standard

Was ist mrtstub.exe?



Hallo ihr, brauche mal wieder eure Hilfe.
Hab heute morgen ein Verzeichnis auf meiner Festplatte gefunden, das (glaub ich wenigstens) nicht von mir stammt. In dem Verzeichnis ist eine datei mrtstub.exe. Hab mal den online-Virenscanner und meine Virensoftware drüberlaufen lassen, aber die sagen, dass alles ok. wäre.... Kann mir jemand sagen, was es mit dieser Datei auf sich hat?

Alt 02.12.2005, 08:49   #2
stupormundi
 
Was ist mrtstub.exe? - Standard

Was ist mrtstub.exe?



Servus!
Ich nehme an, dass Du Tante google dazu schon konsultiert hast. Dort finde ich Hinweise, dass der Prozess zu einer nicht näher definierter Malware (Spy/Adware) gehören soll!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
stupormundi
__________________

__________________

Alt 02.12.2005, 09:16   #3
nullpeiler
 
Was ist mrtstub.exe? - Standard

Was ist mrtstub.exe?



Hallo Stupormundi, danke für die schnelle Antwort.
Du hast recht, ich hab natürlich auch gegoogelt, aber leider nicht gefunden. Deshalb hier mein HJT-Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 10:14:43, on 02.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [MediaFace Integration] C:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCFABF28-ABA9-4203-AC2E-25221D296F33}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
__________________

Alt 02.12.2005, 10:22   #4
stupormundi
 
Was ist mrtstub.exe? - Standard

Was ist mrtstub.exe?



Servus wieder!
Also in Deinem Log finde ich jetzt mal nichts, was auf Malware hindeutet!
Aber das muss nichts heissen!
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, update vor dem Scan, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
Nachtrag zur Anleitung: Neuerdings finden die User nach dem entpacken die Datei zum updaten nicht (kp warum).
In diesem Fall lass escan so im abgesicherten Modus mal laufen.
Vergiss nicht, die find.bat separat downzuloaden.
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 02.12.2005, 13:03   #5
nullpeiler
 
Was ist mrtstub.exe? - Standard

Was ist mrtstub.exe?



So jetzt bin ich auch wieder da. Hoffe ich hab alles richtig durchgeführt. Hier nun mein escan-log-file:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Dec 02 13:02:35 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\curing_an_infected_file_after_a_scan.html
Fri Dec 02 13:02:36 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\deleting_an_infected_file_after_a_scan.html
Fri Dec 02 13:02:40 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\infected_files.html
Fri Dec 02 13:02:41 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\infected_files_02.html
Fri Dec 02 13:02:41 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\infected_object.html
Fri Dec 02 13:02:43 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\moving_an_infected_file_after_a_scan.html
Fri Dec 02 13:02:50 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\remove_infected_macros.html
Fri Dec 02 13:02:51 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\renaming_an_infected_file_after_a_scan.html
Fri Dec 02 13:02:53 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\send_infected_files_only.html
Fri Dec 02 13:02:58 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\viewing_details_about_an_infected_file.html
Fri Dec 02 13:54:38 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Dec 02 13:54:38 2005 => Total Virus(es) Found: 0
Fri Dec 02 13:54:38 2005 => Total Errors: 73
Fri Dec 02 13:54:38 2005 => Time Elapsed: 01:10:04
Fri Dec 02 13:54:38 2005 => Total Objects Scanned: 63440
Fri Dec 02 12:43:37 2005 => Virus Database Date: 2005/11/28
Fri Dec 02 13:54:38 2005 => Virus Database Date: 2005/11/28
Fri Dec 02 13:58:00 2005 => Virus Database Date: 2005/11/28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Sieht nicht ganz schlecht aus, oder?
PS: Ich kann übrigend auch nicht das escan-update starten.


Alt 07.01.2006, 12:44   #6
rainiman
 
Was ist mrtstub.exe? - Icon26

Was ist mrtstub.exe?



Hallo,ihr Lieben Nutzer!!!
Zufällig bin ich auf dieses Forum gestossen und gleich auf dieses Thema!!
Ist ja schon ein weilchen her, aber vielleicht hab ich eine passende Antwort für MRTSTUB.exe.Nämlich gehört meines Wissens dieser Prozess zum Microsoft Malicious Software Removal Tool.Dürfte also vielleicht harmlos sein.
Gruß, rainiman
p.s. hats geholfen????

Alt 09.01.2006, 09:35   #7
stupormundi
 
Was ist mrtstub.exe? - Standard

Was ist mrtstub.exe?



Servus wieder!
Danke für den Hinweis, rainiman. Habe da selber im I.Net immer nur den Hinweis auf die "unbekannte Malware" gefunden.
Aber Dein Wink war schon gut!
(http://uk.forumsforyou.com/p/microso....exe_2000.html)
@nullpeiler: Dein escan erscheint sauber, aber wegen dem update - bekommst Du beim Updateversuch irgend eine Rückmeldung?
Kann eine vorrübergehende Störung gewesen sein!
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 13.02.2008, 20:23   #8
gelsenkirchen38
 
Was ist mrtstub.exe? - Standard

Was ist mrtstub.exe?



hallo
in meiner tasmanager war die datei nicht aber als ich windows update gemacht hab
also automatisches update war dies hier in der taskmanager

mrtstub.exe und noch 2 andere
ich glaub es ist nicht schädlich

Antwort

Themen zu Was ist mrtstub.exe?
brauche, datei, festplatte, gefunde, heute, morgen, online-virenscanner, platte, scan, scanner, software, verzeichnis, virensoftware



Zum Thema Was ist mrtstub.exe? - Hallo ihr, brauche mal wieder eure Hilfe. Hab heute morgen ein Verzeichnis auf meiner Festplatte gefunden, das (glaub ich wenigstens) nicht von mir stammt. In dem Verzeichnis ist eine datei - Was ist mrtstub.exe?...
Archiv
Du betrachtest: Was ist mrtstub.exe? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.