|
msssss.exe ? Ich glaube das diese dubiose msssss.exe auf meinem Rechner ein Wurm oder Virus ist, weil die versucht bei einer aktiven Verbindung mit dem Internet noch dubiosere Anwendungen zu starten. Ausserdem werd ich das Gefühl nicht los das die auch irgendwie mein System beeiträchtigt. Kann mir einer mehr zu diesem Ding sagen? Btw, kann es sein das dieses Forum nicht richtig mit Mozillas Firebird funktioniert? |
Hallo, prüf die Datei bitte hier: http://www.kaspersky.com/de/scanforvirus Ergebnis? Dieses Forum ist auch mit Firefox erreichbar, ja! |
http://www.kaspersky.com/de/scanforvirus Ich hab mit Firebird 0.7 keine Probleme. Edit: Markus war schneller ... :heilig: |
Muss ich dazu meine Firewall oder mein Antiviren prog ausschalten damit der Link funktioniert? |
Nein. Funktioniert auch so. |
Und wieso kriege ich jedesmal die Meldung das der Server nicht gefunden werden konnte? |
Dann probiers mal ohne FW. |
Das klingt nicht gut. Ein aktiver Backdoor verhindert bei dir den Kontakt zu den Seiten der AV-Labs! |
Hm, auch mit deaktivierter Firewall und Antivirenprog geht der Link net, hab diese exe erstmal von meinem System genommen. Dennoch scheint irgendwas meinen Rechner zu beeiträchtigen wenn ich ne Verbindung zum Internet hab. |
Poste bitte mal ein HijackThis-Log! |
Das wollte ich auch gerade schreiben. ;) |
Ein was? Hijackthis? Hä? |
|
Okay, hier ist des log: Logfile of HijackThis v1.98.0 Scan saved at 01:21:05, on 16.07.2004 Platform: Windows 2000 SP1 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINNT\System32\wupdate.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINNT\TBPanel.exe C:\WINNT\System32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\System32\internat.exe C:\Programme\TA 33 USB\Capictrl.exe C:\Downloads\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stu.usox.org/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ewetel.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = EWE TEL F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Gainward] C:\WINNT\TBPanel.exe /A O4 - HKLM\..\Run: [routcnf] C:\Programme\TA 33 USB\routcnf.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [navp.exe] wupdate.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [navp.exe] wupdate.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] yekjkgb.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Microsoft Update Machine] yekjkgb.exe O4 - Global Startup: CAPIControl.lnk = C:\Programme\TA 33 USB\Capictrl.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= |
Kannst du jetzt auf die Kaspersky-Seite zugreifen und diese Datei prüfen? C:\WINNT\System32\wupdate.exe By the way: alles sieht nach Backdoor.Rbot / Agobot aus! |
Hätte ich nach dem scannen mit Hijackthis noch was anderes mit dem porg machen sollen? Weil ich hab nur gescant und des log geschpeichert. Achso, und zu dieser kapersky Seite komm ich immer noch nicht. |
Nein, hat schon gepasst. Dann schick mal die Datei wupdate.exe an mich: partytime-germany.ice@web.de |
Ja, gute Idee, denn die Anzeige der Prüfseite wird von der Malware weiterhin unterbunden. Versuche derweil, den laufenden Prozess dieser Datei zu beenden. Starte dazu den Taskamanger. Lässt er sich nicht öffnen, suche nach der Datei taskmgr.exe, klick sie mit rechts an, kopiere sie auf den Desktop, benenn sie um in anzeige.com, starte sie. Markiere dann den besagten Prozess, beende ihn. Sende die Datei zur Prüfung an die genannte Mailadresse. |
Da is ja noch was drin: yekjkgb.exe Diese Datei kannst du auch gleich mitschicken! |
Also ich kann weder die wupdate.exe löschen noch den Prozess beenden, der zugriff wird jedesmal erweigert. Und komischerweise ist diese yekjkgb.exe nicht auf meinem Rechner zu finden. Mal schauen ob im abgesicherten modus was geht. |
mmk kann dir einiges über Backdoor erzählen .... AntiVir u. vermutl. auch andere AV-Hersteller erkennen diesen Schädling nicht, darum ist es ratsam, wenn du einem die Datei zusenden würdest. |
mssssss.exe -> Backdoor.Rbot-gen wupdate.exe -> Backdoor.Agobot-gen Wenn du ein wieder ein 100%ig sauberes System willst, dann wirst du formatieren müssen. Im Prinzip könnte jemand anderes die Kontrolle über deinen PC haben. (<- mmk's Spruch :)) |
...aber VOR der ersten Internetverbindung absichern! http://dingens.org |
Hmpf, mir bleibt also nichts anderes übrig. Naja, muss ich wohl auf die harte Tour lernen das ich nicht einfach mit ner ungeschützen Windose surfen kann. Zum Glück sind ja Ferien. :) Btw, hab die beiden exe dateien mal an partytime-germany.ice@web.de geschickt, falls sich jemand für die interessiert. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board