Bitte mal ganz kurz prüfen :)

Swordian · 25.02.2005, 22:25

Hallo hab mal eScan rein aus langerweile durchlaufen lassen und er hat was gefunden aber tagged not-as a virus. und zwar:

Fri Feb 25 22:11:07 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:24:35, on 25.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Registry Clean Expert\RCScheduler.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\mst software\mst Defrag\mstDfrgS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\Sicherheit\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RegClean Expert Scheduler] "C:\Programme\Registry Clean Expert\RCScheduler.exe" /startup
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1124197612058
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: mst Defrag Service (mstDfrgS) - mst software, Martin Stiemerling, Germany - C:\Programme\mst software\mst Defrag\mstDfrgS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

mfG

chaosman · 25.02.2005, 22:35

@Swordian
hast du ein problem? oder willst du nur dein logfile überprüfen lassen?

im logfile sehe ich nichts auffälliges
chaosman

Swordian · 25.02.2005, 22:39

Zitat:

Zitat von chaosman

@Swordian
hast du ein problem? oder willst du nur dein logfile überprüfen lassen?

im logfile sehe ich nichts auffälliges
chaosman

nein problem keines, wollte nur mein logfile und diese Datei prüfen lassen

Gigamail · 26.02.2005, 11:03

@ Swordian

wenn Dir irgentwelche Dateien suspekt vorkommen kannst Du sie kostenlos prüfen lassen, drücke dazu einfach meinen Link in der Signatur. Damit hilfst Du auch neue Malware schnellst möglich aufzufinden.
Der Uploader hat die Möglichkeit seine upgeloadeten Dateien einzusehen, weitere upzuloaden und den Status der Analyse abzufragen.
Diese Infos werden ihm natürlich auch per Mail zugeschickt.

Am Ende des Tages erhalten dann über 40 Malwareschutzhersteller und das BSI alle Dateien zur Signaturerstellung.

Danke

big_surfer · 26.02.2005, 11:20

Unter
www.hijackthis.de
kannst du deine Protokolldatei online prüfen lassen.

Ansonsten empfehle ich dir noch die Programme Spybot Search&Destroy und a².

Swordian · 26.02.2005, 11:51

Zitat:

Zitat von Gigamail

@ Swordian

wenn Dir irgentwelche Dateien suspekt vorkommen kannst Du sie kostenlos prüfen lassen, drücke dazu einfach meinen Link in der Signatur. Damit hilfst Du auch neue Malware schnellst möglich aufzufinden.
Der Uploader hat die Möglichkeit seine upgeloadeten Dateien einzusehen, weitere upzuloaden und den Status der Analyse abzufragen.
Diese Infos werden ihm natürlich auch per Mail zugeschickt.

Am Ende des Tages erhalten dann über 40 Malwareschutzhersteller und das BSI alle Dateien zur Signaturerstellung.

Danke

danke gute idee... diese Datei ist gar nicht vorhanden bei mir oO wie darf ich das denn verstehen??

Gigamail · 26.02.2005, 11:53

Zitat:

diese Datei ist gar nicht vorhanden bei mir oO wie darf ich das denn verstehen??

wie meinst Du das und welche ?

Swordian · 26.02.2005, 12:50

Zitat:

Zitat von Gigamail

wie meinst Du das und welche ?

C:\WINDOWS\_MSRSTRT.EXE

hat irgentwas, tagged not as a virus, Tool.WIN32.Reboot

aber jetzt wo ichs mir genau ansehe ist das doch nur die Exe die PC neustartet oder ? *gg*

Gigamail · 26.02.2005, 12:57

Zitat:

C:\WINDOWS\_MSRSTRT.EXE

kenne ich nicht diese Datei, ist bei mir auch nicht drin, aber gerade solche kannst Du wie unten beschrieben dort prüfen lassen

Swordian · 26.02.2005, 13:06

Zitat:

Zitat von Gigamail

kenne ich nicht diese Datei, ist bei mir auch nicht drin, aber gerade solche kannst Du wie unten beschrieben dort prüfen lassen

das ist es ja. gebe ich diesen pfad im explorer ein rebootet er. gehe ich einfach in C:\WINDOWS dann ist diese datei da nicht drinnen... und auf der website findet er den pfad auch net

Gigamail · 26.02.2005, 13:43

Versuch's mal so

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
dann sollte sie zu finden sein

Bitte mal ganz kurz prüfen :)

Plagegeister aller Art und deren Bekämpfung: Bitte mal ganz kurz prüfen :)