Logfile-Auswertung-Probleme mit

JGandN · 01.05.2005, 09:25

Hallo,

hatte mir wohl auch einen Trojaner (popup.exe) eingefangen und nach den board-anleitungen wieder vom system entfernt, so hoff(t)e ich.

Eine Datei stellt sich nach jedem booten aber wieder neu ein, woran kann das liegen?
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
(Im aktuellen Logfile ist sie nicht vorhanden, da ich sie gefixt habe, bevor ich ins netz gegangen bin, aber bis jetzt war sie nach jedem booten wieder da).

Wäre nett, wenn jmd. noch einen Tipp hätte bzw. mir sagen könnte, was ich falsch gemacht hab.

Logfile of HijackThis v1.99.1
Scan saved at 10:14:12, on 01.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\imapi.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\lycos\Lyc_SysTray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Nero\NeroNET\NeroNET.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = D:\Programme\Spysub\SpySub.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NeroNET - Ahead Software AG - D:\Programme\Nero\NeroNET\NeroNET.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\Speedmanager\tsmsvc.exe

Cidre · 01.05.2005, 09:49

Hallo,

bis auf diesen F2 Eintrag wäre dein Log-File 'sauber'.
Arbeite diese Beschreibung ab und lösche die 'C:\WINDOWS\System32\msmsgs.exe'.

Hast du schon mit eScan AntiVirus dein System gescannt?

JGandN · 01.05.2005, 16:48

Hallo und Danke für die Antwort!

Hat ne ganze Weile gedauert die Notfall Version von sophos mit nem 56k Modem runterzuladen.

Nun hab ich das Programm auch im abgesicherten Modus laufen lassen, aber das Fenster schließt sich zu schnell, als dass ich was vom Ergebnis lesen könnte - zudem ist die dumme f2 regedit immer noch drauf.

Evtl. hab ich die Anleitung aber auch nicht richtig begriffen.
Muß ich wirklich CD und? Diskette benutzen.?

"..legen sie ... die cd in das cd-laufwerk (D in diesem Beispiel) sowie die Diskette mit den IDEs in in das Diskettenlaufwerk A: in diesem Beispiel) ein.

Die CD hab ich jedenfalls gezogen, aber wo finde ich die Diskette zum download, falls ich sie auch benötige?
Und wie halte ich das fenster offen, damit ich das Ergebnis lesen kann?

Cidre · 01.05.2005, 16:58

Da hast du mich missverstanden, du solltest nur diese Reg Keys und Dateien [1] überprüfen, wenn vorhanden, dann löschen.

[1] http://www.sophos.de/virusinfo/analy...dloaderln.html

JGandN · 01.05.2005, 19:43

So, ich hab jetzt wirklich alles versucht, aber das lästige F2 Ding stellt sich immer wieder selbst her, obwohl ich es gefixt hab.
Eine msmsgs.exe Datei habe ich nirgend gefunden.

Was nun?

DIe automatische Logfile Auswertung sagt die zwei wären evtl auch böse. Muss ich die auch fixen oder gehören die zu den angebeben Programmen?

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\ActiveX\AcroIEHelper.dll
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([06849E9F-C8D7-4D59-B87D-784B7D6BE0B3] - Treffer: 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) wurde überprüft. Trefferquote: 99 %

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([BA52B914-B692-46c4-B683-905236F6F655] - Treffer: BA52B914-B692-46c4-B683-905236F6F655) wurde überprüft. Wenn der Name aus zufälligen Zeichen besteht, sich im Verzeichnis 'Application Data' (Anwendungsdaten) befindet und die Art 'Unbekannt' ist, fixen. Trefferquote: 99 %

Logfile of HijackThis v1.99.1
Scan saved at 20:35:32, on 01.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Nero\NeroNET\NeroNET.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\lycos\Lyc_SysTray.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = D:\Programme\Spysub\SpySub.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NeroNET - Ahead Software AG - D:\Programme\Nero\NeroNET\NeroNET.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\Speedmanager\tsmsvc.exe

01.05.2005, 09:49	#2
Cidre Administrator, a.D.	Logfile-Auswertung-Probleme mit Hallo, bis auf diesen F2 Eintrag wäre dein Log-File 'sauber'. Arbeite diese Beschreibung ab und lösche die 'C:\WINDOWS\System32\msmsgs.exe'. Hast du schon mit eScan AntiVirus dein System gescannt? __________________ __________________

01.05.2005, 16:58	#4
Cidre Administrator, a.D.	Logfile-Auswertung-Probleme mit Da hast du mich missverstanden, du solltest nur diese Reg Keys und Dateien [1] überprüfen, wenn vorhanden, dann löschen. [1] http://www.sophos.de/virusinfo/analy...dloaderln.html __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Logfile-Auswertung-Probleme mit

Log-Analyse und Auswertung: Logfile-Auswertung-Probleme mit