|
MSlti32.exe versucht auf Internet Zugriff zu erhalten Hallo, ich hoffe es kann mir jemand von euch helfen.... :) Meine Firewall (Norton) meldet mir immer wieder, dass die obengenannte Datei "MSlti32.exe" Zugriff auf das Internet verlangt, dieser wirrd zwar geblockt, doch nach dem Hinauffahren des PCs muss ich der Firewall wieder diesselbe Anweisung geben diese Anwendung zu blockieren...das obwohl ich auf "Immer Blockieren" gegangen bin. Hat irgendjemand eine Ahnung was das für ein Virus, oder was auch immer das ist, sein kann? Wenn ja wäre eine Anleitung zur Entfernung sehr hilfreich :) ...thx im voraus. Ausserdem funktioniert mein Texteditor nicht mehr...kann das mit dem obigen Problem zusammenhängen? Habe die Datei "notepad.exe" bereits von meinem Laptop auf meinen PC kopiert jedoch funzte es auch nur 1 tag...dann war wieder dasselbe Problem da...der Editor lässt sich einfach nicht starten. Zusätzlich wird beim Start von Norton Systemworks 2004 die Installation gefordert doch wenn man 3-4 mal auf Abbrechen klickt startet das Programm normal...zumindest wirkt es so. Falls ihr noch etwaige Informationen benötigt poste ich diese sofort... ;) greetz oliveck |
Mslti.exe. oder Mslti32.exe? Datei hier prüfen: http://www.kaspersky.com/de/scanforvirus Du hast den Backdoor.Rbot auf deinem Systen. Da gibt es eigentlich nur eine sinnvolle und sichere Lösung: "Plattmachen" und neu aufsetzen, System vor der ersten Internetverbindung entsprechend absichern: http://dingens.org |
Danke für die schnelle antwort....und sry....es ist, wie du dir schon gedacht hast, die Datei "MSlti32.exe"...sry nochmal dafür. Kann ich meine Daten bevor sichern oder soll ich einfach alles unwiderruflich formatieren? Oder kann ich mir meine "wichtigsten" Daten noch absichern und später auf den formatierten PC wieder hinaufspielen? und gibt es denn vielleicht nicht noch eine andere Möglichkeit?? :( Wär nämlich schon hart sein ganzes System löschen zu müssen. :schmoll: Danke für die rasche Antowrt :) |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Daher: VOR der ersten Verbindung ins Netz richtig absichern - vorher deswegen, weil 5 ungeschützte Sekunden bereits für eine Infektion dieser Art ausreichen! Schützen: http://dingens.org |
Danke für die Antwort....doch es gibt jetzt ein neues Problem, die Datei MSlti32.exe weder noch MSlti.exe existieren mehr. Nur unter C:\WINDOWS\PREFETCH existiert eine Datei mit dem Namen: "MSLTI32.EXE-05818983.pf" Ich hoffe du hältst mich nicht für komplett hinüber, aber es ist so...nachdem ich neu gestartet habe...was soll ich nun machen?? Ich bin ein Amateur in Sachen Virenentfernung, weil ich dachte, dass ich geschützt bin....sry...wäre weiterhin sehr dankbar für deine Hilfe und deine Ratschläge. Thx oliveck |
Das ersetzt nicht das Formatieren, dürfte das System aber soweit stabilisieren, dass du deine BackUps machen kannst: - http://dingens.org -> Pprgramm dingens.org/win32sec.exe laden. - Internetverbindung trennen. - Systemwiederherstellung von Win XP abschalten. - win32sec.exe-Programm ausführen. - Systemm im abgesicherten Modus neu starten - Prozesse der als infiziert erkannten Dateien über den Taskmanager beenden. Falls sich der Taskamanger auch im abgesicherten Modus nicht öffnen lässt, kopiere die Datei taskmgr.exe aus dem System32-Ordner auf den Desktop, bennen sie z.B. um in auflistung.com und führe sie aus. - Lösch die infizierten Dateien - Lösch die auf sie verweisenden Registry-Starteinträge mit Hilfe von HijackThis (aber nur diese Einträge, nicht alle!) - Starte Windows im normalen Modus neu. - Erstell ein neues LogFile und poste es hier. |
So...ich habe deine Anweisungen befolgt...konnte leider gestern nicht mehr fertig werden...sry dafür...aber das ist meine "HijackThis log" von heute morgen: ------- Logfile of HijackThis v1.98.0 Scan saved at 07:51:37, on 04.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/search.html R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (disabled by BHODemon) O2 - BHO: Zero Popup - {2EF37A01-884F-11d5-AC99-B112050ECB4F} - (no file) O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (disabled by BHODemon) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll (disabled by BHODemon) O2 - BHO: (no name) - {C1E61D5C-2E11-4835-BFD9-F7B9AA2769F0} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [QuickFinder Scheduler] c:\Corel\Office7\Shared\QFinder7\QFSCHED.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [Microsoft Update Machine] MSlti32.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] MSlti32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [Microsoft Update Machine] MSlti32.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - (no file) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - (no file) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} (MSN Chat Control 4.2) - http://fdl.msn.com/public/chat/msnchat42.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) - O16 - DPF: {E07FC3F9-38C7-4CB9-8378-CCA78975A69B} (BITSoundRecorder.bitsndrec) - http://www.bildung.at/content//be/lm.../bitsndrec.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B23D7986-423B-4AB1-B1CB-9EC1248B7266}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\MSERO.DLL O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file) ------- so das wäre die datei...kannst du mir bei der korrekten auswertung helfen...oder soll ich diese in das andere topic schreiben? danke für deine große Hilfe :) mfg oliveck |
O4 - HKLM\..\Run: [Microsoft Update Machine] MSlti32.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] MSlti32.exe O4 - HKCU\..\Run: [Microsoft Update Machine] MSlti32.exe Markiere diese Einträge in HijackThis, wähle "Fix checked". Starte danach HijackThis erneut, wähle Scan und prüfe selbst (!), ob diese Einträge nun nicht mehr vorhanden sind. |
Wenn du damit fertig bist, und diese Einträge nicht mehr vorhanden sind, dann lade dir einmal TCPView, erstell damit ein LogFile und poste es hier: http://www.sysinternals.com/ntw2k/source/tcpview.shtml |
Noch ein paar Ergänzungen zum LogFile: Platform: Windows XP (WinNT 5.01.2600) -> Kein Wunder, diese Infektion, denn dein System braucht Service-Packs & Patches! Bitte diese Einträge ebenfalls mit Fix checked löschen: O2 - BHO: Zero Popup - {2EF37A01-884F-11d5-AC99-B112050ECB4F} - (no file) O2 - BHO: (no name) - {C1E61D5C-2E11-4835-BFD9-F7B9AA2769F0} - (no file) O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - (no file) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - (no file) O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file) [Ende der zu löschenden Einträge] Hier sieht man, was passieren kann, wenn sich zwei "Sicherheitsprogramme" in die Quere kommen: sie deaktivieren sich "gegenseitig": O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (disabled by BHODemon) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll (disabled by BHODemon) |
Guten Morgen...so...ich habe die drei Dateien nun entfernt...sie existieren nicht mehr :snyper: :)...wie du mir erklärt hast, habe ich mir "TCPView" geladen und dann eine log-file erstellt. So und hier ist das Ergebnis: ------ [System Process]:0 TCP customer-b50998:1359 66.102.11.104:http TIME_WAIT [System Process]:0 TCP CUSTOMER-B50998:1358 localhost:1025 TIME_WAIT ccApp.exe:140 TCP CUSTOMER-B50998:1027 CUSTOMER-B50998:0 LISTENING ccProxy.exe:1132 TCP CUSTOMER-B50998:1371 CUSTOMER-B50998:0 LISTENING ccProxy.exe:1132 TCP customer-b50998:1371 66-193-254-46.gen.twtelecom.net:http ESTABLISHED ccProxy.exe:1132 TCP CUSTOMER-B50998:1025 CUSTOMER-B50998:0 LISTENING ccProxy.exe:1132 TCP CUSTOMER-B50998:1025 localhost:1370 ESTABLISHED msmsgs.exe:3296 TCP customer-b50998:7195 CUSTOMER-B50998:0 LISTENING msmsgs.exe:3296 UDP CUSTOMER-B50998:1381 *:* msmsgs.exe:3296 UDP customer-b50998:14038 *:* Netscp.exe:3912 TCP CUSTOMER-B50998:1138 CUSTOMER-B50998:0 LISTENING Netscp.exe:3912 TCP CUSTOMER-B50998:1370 CUSTOMER-B50998:0 LISTENING Netscp.exe:3912 TCP CUSTOMER-B50998:1137 CUSTOMER-B50998:0 LISTENING Netscp.exe:3912 TCP CUSTOMER-B50998:1137 localhost:1138 ESTABLISHED Netscp.exe:3912 TCP CUSTOMER-B50998:1138 localhost:1137 ESTABLISHED Netscp.exe:3912 TCP CUSTOMER-B50998:1370 localhost:1025 ESTABLISHED System:4 TCP CUSTOMER-B50998:1026 CUSTOMER-B50998:0 LISTENING -------- Danke schon im Voraus... greetz oliveck |
Ich habe nun auch die anderen Dateien gelöscht und den BHODemon die Nortonaktivitäten ausführen lassen....ist das so in Ordnung? und wieder einmal mein Dank schon im Voraus greetz oliveck |
Diese Einträge hättest du eigentlich nicht löäschen sollen, besonders tragisch ist es anderereits aber auch nicht. Du nutzt jetzt Netscape als Browser? Ansonsten sieht aber alles soweit ok aus! |
Ja, sollte ich nicht? Ich dachte mir, dass ich, bis ich alle Updates ausgeführt habe, lieber den IE 6 nicht verwende....ist das nicht besser so? Wegen den gelöschten Entries....du hast doch geschrieben, dass ich sie fixen soll...naja...ok...aber wenn du schreibst es sei nicht weiter tragisch dann lassen wir das Thema :) Herzlichsten Dank für deine Hilfe Grüße oliveck |
Zitat:
Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board