www.nigerov.net

atzemann · 19.09.2005, 20:21

Hallo,

ich habe seit ein paar Tagen folgendes Problem:
Wennich meinen Rechner runterfahren möchte, daß bekomme ich die Meldung, daß das Programm "www.nigerov.net" (<= ja, das soll der Name sein) nicht beendet werden kann. Zusätzlich erscheint im SysTray (neben der Uhr) ein gelbes, blinnkendes Dreieck mit Ausrufezeichen. Wenn ich auf dieses Dreieck klicke öffnet sich ein Browserfenster und ich werde auf eine Webseite geleitet, die mir Anti-Spyware-Produkte anbietet. Es ist übrigens immer eine andere Seite.
Manchmal erhalte ich auch eine Meldung:
"Critical System Error! Please read this Message carefully.Your PC is infected by spyware...." dann wird mir dringend empfohlen ein geeignetes Programm zu kaufen.

Norton Antivirus findet gar nichts. Ebenso AntiVir von HundB EDV. Auch Spybot&Destroy und Adaware finden nichts. Also HijackThis liefert folgendes. Hier bitte ich um Eure Mithilfe, da es in meinen Augen keinen gefährlichen Eintrag gibt. Aber vielleicht irre ich mich auch:

Logfile of HijackThis v1.98.0
Scan saved at 17:38:41, on 19.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ati-cpanel\atiptaxx.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\taskmgr.exe
C:\csh\trojaner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ati-cpanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

Folgende Prozesse sind im TaskManager zusehen (mit denen ich nichts anfangen kann):
- slserv.exe
- wuauclt.exe
- LEXBCES.EXE
- LEXPPS.EXE
- soffice.exe
- lsass.exe
- services.exe
- winlogon.exe
- csrss.exe
- cftmon.exe
- LXSUPMON.EXE
- smss.exe
- wdfmgr.exe
- msole32.exe

Also meine Fragen:
Welche Krankheit hat der PC? Und was kann ich dagegen tun?

cronos · 19.09.2005, 20:28

Arbeite mal folgendes ab:
http://www.trojaner-board.de/showthread.php?t=21709

Melde dich danach mit allen Logfiles zurück-aber bitte diemal vollständig.

Karaya · 19.09.2005, 20:34

Hallo atzemann,

Dein HijackThis ist veraltet - lade die neue version runter.
Dei Logfile ist unvollständig - das ganze log posten.
Die Liste der Taskmanagerprozesse ist unnötig, die stehen im Logfile unter "running prozess".

vergiß es: cronos war schneller!!

karaya

atzemann · 20.09.2005, 12:36

Hallo,

hier ein aktueller log von HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 12:44:57, on 20.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ati-cpanel\atiptaxx.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\Dokumente und Einstellungen\Duin.OAGIF8O90RYVYCP\Eigene Dateien\SONSTIGES\Software\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ati-cpanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1127145450343
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

DEPI · 20.09.2005, 13:07

fixe bitte folgenden eintrag:

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe

außerdem ist dein System veraltet, füre ein Windowsupdate durch!

stupormundi · 20.09.2005, 13:16

@depi Wenn der Eintrag

Zitat:

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe

auf den http://securityresponse.symantec.com...an.zlob.b.html hinweist, reicht ein Fixen nicht aus (laut Symantec Backdoorfunktion)
@atzemann: Lass diese oben zitierte Datei mal bei Jotti http://virusscan.jotti.org/de/ prüfen und poste das Ergebnis!
stupormundi

felix1 · 20.09.2005, 13:50

Update das System und spiele SP2 auf.
Schalte den Nachrichtendienst ab.

@all
http://www.neuber.com/taskmanager/de...smsgs.exe.html

stupormundi · 20.09.2005, 13:57

@ felix1. Aber nicht mit dem Startupnamen

Zitat:

RegSvr32 X msmsgs.exe Added by the ZLOB.B TROJAN!

Quelle: http://www.sysinfo.org/
Und nachsehen - sprich checken - hat noch nie geschadet

Cu, Stupormundi

cronos · 20.09.2005, 17:59

@ atzemann

Meine Empfehlung schon ausgeführt?

20.09.2005, 13:50	#7
felix1 /// Helfer-Team	www.nigerov.net Update das System und spiele SP2 auf. Schalte den Nachrichtendienst ab. @all http://www.neuber.com/taskmanager/de...smsgs.exe.html

19.09.2005, 20:28	#2
cronos	www.nigerov.net Arbeite mal folgendes ab: http://www.trojaner-board.de/showthread.php?t=21709 Melde dich danach mit allen Logfiles zurück-aber bitte diemal vollständig. __________________ __________________

19.09.2005, 20:34	#3
Karaya	www.nigerov.net Hallo atzemann, Dein HijackThis ist veraltet - lade die neue version runter. Dei Logfile ist unvollständig - das ganze log posten. Die Liste der Taskmanagerprozesse ist unnötig, die stehen im Logfile unter "running prozess". vergiß es: cronos war schneller!! karaya __________________

20.09.2005, 13:07	#5
DEPI	www.nigerov.net fixe bitte folgenden eintrag: O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe außerdem ist dein System veraltet, füre ein Windowsupdate durch!

20.09.2005, 17:59	#9
cronos	www.nigerov.net @ atzemann Meine Empfehlung schon ausgeführt? __________________ Only cronos endures

www.nigerov.net

Plagegeister aller Art und deren Bekämpfung: www.nigerov.net

www.nigerov.net

www.nigerov.net

www.nigerov.net

www.nigerov.net

www.nigerov.net

www.nigerov.net

www.nigerov.net

www.nigerov.net

www.nigerov.net