Trojaner-Board - Windows XP Fehler

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows XP Fehler (https://www.trojaner-board.de/17329-windows-xp-fehler.html)

Windows XP Fehler

ich habe ein ähnliches problem, wie hier schon beschrieben:
http://www.trojaner-board.de/showthread.php?t=17274

zuerst hatte ich auch genau die fehlermeldung auf dem desktop, die konnte ich mit antivir beheben. die datei popuper.exe und noch diverse weitere auffällige habe ich im abgesicherten modus bereits beseitigt, weiterhin hab ich auch gleich noch einen viruscheck im abges. modus gemacht. mein problem ist, dass mein desktop jetzt schwarz ist und das lässt sich auch nicht ändern. beim starten von windows xp (home edition) sind die wartebaöken neuerdings blau und nicht grün, außerdem steht dort nicht mehr home edition, sondern nur noch windows xp.
was kann das sein? bis vorhin hab ich unten rechts noch warnmeldungen in einem gelben fenster bekommen, aber die sind jetzt auch weg.
e-scan, adaware, spybot und antivir hab ich schon durch, was soll ich noch probieren?

ich hab hier noch ein logfile, aber ich denke das es clean ist: (sp2 ist erst seit vorhin drauf!)

Logfile of HijackThis v1.99.1
Scan saved at 18:03:41, on 02.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\SSK\SSK.EXE
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\dcfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Flo\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SuperSpamKiller] C:\PROGRA~1\SSK\SSK.EXE
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RealDownload.lnk = C:\Programme\Real\RealDownload\RealDownload.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: dcfssvc (Dcfssvc) - Eastman Kodak Company - C:\WINDOWS\System32\DRIVERS\dcfssvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lass mal diese Datei C:\WINDOWS\System32\msmsgs.exe bei Jotti überprüfen tippe auf einen Backdoor.

Ich sag, die ist in Ordnung.

Hallo cronos!

Wie kommst du zu dieser Annahme?

Weil sich die msmsgs.exe im System32 Ordner befindet wo sich auch hingehört.

Zitat:

Zitat von The Saint

Lass mal diese Datei C:\WINDOWS\System32\msmsgs.exe bei Jotti überprüfen

Zitat:

Zitat von cronos

Ich sag, die ist in Ordnung.

Zitat:

Zitat von The Saint

Weil sich die msmsgs.exe im System32 Ordner befindet wo sich auch hingehört.

Was jetzt :crazy:

Die Datei ist Malware.

Habt ja Recht.
Wäre es der "normale" Messenger wäre der Startup Name wohl der hier [MSMSGS].
Der richtige ist ist ja auch vohanden

msmsgs habe ich mittlerweile gefixt. hat aber nichts geholfen. die datei ist weg (auch nach neustart) aber die probleme sind noch da. komisch ist, dass ich meinen desktophintergrund auch nicht ändern kann. im menü start-systemsteuerung-anzeige gibt es nur noch die kateikarten "bildschirmschoner" und "einstellungen". die restlichen (z.b. Darsterllung, desktop...) fehlen komplett?! die komischen spyware meldungen sind mittlerweile weg, hab mir bis eben auch noch alle sicherheitsupdates besorgt, hat aber im prinzip nix geholfen. antivir hat auch im 3. suchlauf (davon einmal abgesichert) nix gefunden.
verdammt nochmal!

Florian

edit: soll ich vielleicht mal eine systemwiederherstellung machen?

@ Flo86

Die Systemwiederherstellung wird dein Problem nicht lösen, arbeite stattdessen diese Empfehlung ab -> http://www.trojaner-board.de/showpos...9&postcount=51

@Flo86!

Zitat:

Stand hier irgendwo das du die fixen sollst?

Was hat der Jotti Scan ergeben?

Bei einem Backdoor hilft dir auch keine Systemwiederherstellung sondern nur Neuaufsetzen des Systems da kompromittiert.
Ein Backdoor Trojaner könnte deine System Dateien verändert haben und andere Zugriff auf dein System gewähren.

die datei war möglicherweise befallen. da ich eh keinen messenger benutze hab ich sie gefixt.
ich meine die ganzen fehlermeldungen und warnmeldungen sind ja jetzt weg, jedoch stört mich der schwarze hintergrund und das etwas veränderte startverhalten (mit den blauen anstatt den grünen balken und der "home edition" -zusatz fehlt).
neuaufsetzen des systems wäre extrem schlecht, was anderes geht nicht?

Florian

Poste uns doch einfach mal die genaue Meldung, die dir zu dieser Datei ausgegeben wurde.
BTW :Fixen alleine tuts nicht.

Um etwas Licht ins Dunkel zu bringen, solltest du uns mal die Virus Log Information von eScan posten:
Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt [1] der automatisch erstellten C:\eScan_neu.txt hier posten.

[1] Strg+A (alles markieren) -> Strg+C (kopieren) -> Strg+V (hier in den Thread einfügen).

dein link geht nicht. soll ich e-scan nochmal durchlaufen lassen und gleich das log posten?

Florian

Ich bin überzeugt, dass der Link funktioniert.;)

Zuerst die Find.bat ausführen, dann die mwav.log löschen und danach erst mit eScan scannen, wenn du möchtest.

jetzt geht der download, frag mich bitte nicht warum ;)
ich mach das jetzt erstmal.

Florian

die datei läuft nicht!
ich lass grad e-scan nochmal laufen und poste dann das logfile

so ich hab hier im forum ein jotti log gefunden, welches den gleichen inhalt besitzt wie das meiner msmsgs datei. meine konnte ich ja nich nochmal checken, die ist ja weg:

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

ja, ich glaub so war das.