mgrs.exe ? was isst dass für ein programm

snickers123 · 06.07.2007, 15:00

Hi ich habe folgendes problem mgrs.exe startet sich immer wieder und versucht irgendwas ans i-net zu senden!

ich poste jetzt einfach mal meine logfile ^^

Logfile of HijackThis v1.99.1
Scan saved at 15:44:25, on 06.07.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\tcpsvcs.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\avp.exe
C:\WINNT\system32\internat.exe
C:\programme\steam\steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Kießi\Desktop\hijackthis\HijackThis.exe
C:\WINNT\mgrs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avp] C:\WINNT\avp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINNT\system32\drvmif.dll,startup
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183658085046
O20 - Winlogon Notify: winhdn32 - C:\WINNT\SYSTEM32\winhdn32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

falls irgendwehm was seltsam vorkommt melden !

danke schon mal im vorraus

cosinus · 06.07.2007, 15:09

mgrs.exe scheint dieser hier zu sein. Da ist wohl aber noch mehr Unrat in deinem System:

C:\WINNT\system32\drvmif.dll
C:\WINNT\SYSTEM32\winhdn32.dll

Werte diese Dateien sowie die mgrs.exe

C:\WINNT\mgrs.exe

nacheinander bei Virustotal aus und poste alle Ergebnisse, inkl. Dateigröße und md5-Checksumme.

snickers123 · 06.07.2007, 15:24

soll ich dass fenster wo steht

antivirus version update result auch posten ?

snickers123 · 06.07.2007, 15:36

zuerst ma von mgrs.exe

Antivirus | Version | Update | Result
AhnLab-V3 | 2007.7.5.0|07.06.2007 |Win-Trojan/Alphabet.11776.AT
AntiVir | 7.4.0.39 |07.06.2007 |TR/Dldr.Agent.11776
Authentium |4.93.8 |07.06.2007 |W32/Downloader2.AJVY
Avast | 4.7.997.0 |07.06.2007 |no virus found
AVG | 7.5.0.476 |07.06.2007 |Downloader.Generic4.ZQS
BitDefender | 7.2 |07.06.2007 |no virus found
CAT-QuickHeal |9.00 |07.06.2007 |(Suspicious) - DNAScan
ClamAV | devel-20070416 |07.06.2007 no virus found
DrWeb | 4.33 07.06.2007 |Trojan.DownLoader.25873
eSafe | 7.0.15.0 |07.05.2007 |Win32.Alphabet.gen
eTrust-Vet |30.8.3767 |07.06.2007 |no virus found
Ewido | 4.0 | 07.06.2007 |Downloader.Alphabet
FileAdvisor |1 |07.06.2007 |no virus found
Fortinet | 2.91.0.0 |07.06.2007 |W32/Alphabet!tr.dldr
F-Prot |4.3.2.48 |07.06.2007 |W32/Downloader2.AJV
F-Secure |6.70.13260.0 |07.06.2007 |W32/DLoader.CYIB
Ikarus |T3.1.1.8 |07.06.2007 |Trojan-Clicker.Win32.Agent.jb
Kaspersky |4.0.2.2 |07.06.2007 |Trojan-Downloader.Win32.Alphabet.gen
McAfee |5068 |07.05.2007 |no virus found
Microsoft |1.2704 |07.06.2007 |TrojanDownloader:Win32/Small.gen!F
NOD32v2 |2382 |07.06.2007 |Win32/TrojanClicker.Agent.NBS
Norman |5.80.02 |07.06.2007 |W32/DLoader.CYIB
Panda |9.0.0.4 |07.06.2007 |Adware/DriveCleaner
Sophos | 4.19.0 |07.06.2007 |Troj/Nonaco-Gen
Sunbelt |2.2.907.0 |07.06.2007 |Scam.Iwin
Symantec |10 |07.06.2007 |Downloader
TheHacker |6.1.6.143 |07.05.2007 |Trojan/Downloader.Alphabet.gen
VBA32 |3.12.0.2 |07.06.2007 |Trojan-Downloader.Win32.Alphabet.gen
VirusBuster |4.3.23:9 |07.06.2007 |no virus found
Webwasher-Gateway |6.0.1 |07.06.2007 |Trojan.Dldr.Agent.11776

File size: 11776 bytes
MD5: 94df38407ba8187a51448370d2f6b464
SHA1: 2bc80aefdb7f53c74d4d0382c36b3a6e6482c9fc
packers: PECOMPACT
Sunbelt info: Scam.Iwin is created by a browser exploit for the purpose of transmitting false clicks to internet URLs.

snickers123 · 06.07.2007, 15:40

von winhdn32.dll

Antivirus |Version |Update| Result
AhnLab-V3 |2007.7.5.0 |07.06.2007 |no virus found
AntiVir |7.4.0.39 |07.06.2007 |TR/Crypt.PEC2X.Gen
Authentium | 4.93.8 |07.06.2007 |no virus found
Avast| 4.7.997.0 |07.06.2007 |no virus found
AVG |7.5.0.476 |07.06.2007 |no virus found
BitDefender |7.2 |07.06.2007 |no virus found
CAT-QuickHeal |9.00 |07.06.2007 |no virus found
ClamAV | devel-20070416 |07.06.2007 |no virus found
DrWeb |4.33 |07.06.2007 |no virus found
eSafe |7.0.15.0 |07.05.2007 |Suspicious Trojan/Worm
eTrust-Vet |30.8.3767 |07.06.2007 |no virus found
Ewido |4.0 |07.06.2007 |no virus found
FileAdvisor |1 |07.06.2007 |no virus found
Fortinet |2.91.0.0 |07.06.2007 |no virus found
F-Prot |4.3.2.48 |07.06.2007 |no virus found
F-Secure |6.70.13260.0 |07.06.2007 |Trojan.Win32.Dialer.qn
Ikarus |T3.1.1.8 |07.06.2007 |Trojan.Win32.Agent.qt
Kaspersky |4.0.2.24 |07.06.2007 |Trojan.Win32.Dialer.qn
McAfee |5068 |07.05.2007 |BackDoor-CVT
Microsoft |1.2704 |07.06.2007 |no virus found
NOD32v2| 2382 |07.06.2007 |no virus found
Norman |5.80.02| 07.06.2007 |no virus found
Panda |9.0.0.4 |07.06.2007 |no virus found
Sophos |4.19.0 |07.06.2007 |Troj/Nebule-Gen
Sunbelt | 2.2.907.0 |07.06.2007 |VIPRE.Suspicious
Symantec |10 |07.06.2007 |no virus found
TheHacker |6.1.6.143 |07.05.2007 |no virus found
VBA32 |3.12.0.2 |07.06.2007 |no virus found
VirusBuster |4.3.23:9 |07.06.2007 |no virus found
Webwasher-Gateway |6.0.1 |07.06.2007 |Trojan.Crypt.PEC2X.Gen

File size: 21504 bytes
MD5: 2270bb9ac2869d59ba0c8c0515467698
SHA1: b96378aa1ffe2429926c6af46d26a45161632a27
packers: PECOMPACT
packers: PecBundle, PECompact
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

snickers123 · 06.07.2007, 15:42

und von drvmif.dll

Antivirus Version Update Result
AhnLab-V3 2007.7.5.0 07.06.2007 Win-Trojan/Xema.variant
AntiVir 7.4.0.39 07.06.2007 TR/Agent.QT.76
Authentium 4.93.8 07.06.2007 W32/Trojan.ZIC
Avast 4.7.997.0 07.06.2007 Win32:Agent-FEW
AVG 7.5.0.476 07.06.2007 Generic3.SQ
BitDefender 7.2 07.06.2007 Trojan.Agent.QT
CAT-QuickHeal 9.00 07.06.2007 Trojan.Agent.qt
ClamAV devel-20070416 07.06.2007 Trojan.Agent-3399
DrWeb 4.33 07.06.2007 Trojan.Fakealert.249
eSafe 7.0.15.0 07.05.2007 Win32.Agent.qt
eTrust-Vet 30.8.3767 07.06.2007 Win32/Aflac.D
Ewido 4.0 07.06.2007 Trojan.Agent.qt
FileAdvisor 1 07.06.2007 High threat detected
Fortinet 2.91.0.0 07.06.2007 W32/Agent.QT!tr
F-Prot 4.3.2.48 07.06.2007 W32/Trojan.ZIC
F-Secure 6.70.13260.0 07.06.2007 W32/Agent.BAPF
Ikarus T3.1.1.8 07.06.2007 Trojan.Win32.Agent.qt
Kaspersky 4.0.2.24 07.06.2007 Trojan.Win32.Agent.qt
McAfee 5068 07.05.2007 FakeAlert-I
Microsoft 1.2704 07.06.2007 Trojan:Win32/Agent.PA
NOD32v2 2382 07.06.2007 a variant of Win32/Agent.QT
Norman 5.80.02 07.06.2007 W32/Agent.BAPF
Panda 9.0.0.4 07.06.2007 Adware/WinAntivirus2006
Sophos 4.19.0 07.06.2007 Troj/Agent-FKY
Sunbelt 2.2.907.0 07.06.2007 Trojan.Win32.Agent.qt
Symantec 10 07.06.2007 Trojan Horse
TheHacker 6.1.6.143 07.05.2007 Trojan/Agent.qt
VBA32 3.12.0.2 07.06.2007 Trojan.Win32.Agent.qt
VirusBuster 4.3.23:9 07.06.2007 Trojan.Agent.SCS
Webwasher-Gateway 6.0.1 07.06.2007 Trojan.Agent.QT.76

File size: 93696 bytes
MD5: 73bb2cee8a6d4cae30c79d9a63861e33
SHA1: 99daeb65cea310d9dd9f3dd114f610a57874fd67
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=73bb2cee8a6d4cae30c79d9a63861e33
Sunbelt info: Trojan.Win32.Agent.qt is a trojan that steals information from the infected machine and sends the data to a remote website.

cosinus · 06.07.2007, 19:12

Also bei Agent.qt Befall würde ich den Rechner nicht bereinigen wollen. Details Agent.QT

Das Ding kommuniziert remote mit anderen Servern, lädt neuen (unbekannten!!) Schadcode nach und wird deshalb nicht umsonst von zumindest einigen AV-Labs als Backdoor-Schädling eingestuft.

Du solltest das System nach Anleitung in meiner Signatur neu aufsetzen.

snickers123 · 07.07.2007, 01:18

also jetzt werde ich dass auf jeden fall tun da ich gerade beim anmelden von windows den befehl bekommen habe dass in 14 tagen mein kennwort zurückgesetzst wird un dass ich es ändern solle

.... ich werde halt mal die komplette disc löschen un neu bespielen

ps danke dir

.... und an alle hacker ihr seid assis ^^

snickers123 · 07.07.2007, 01:33

... ich hätte da noch ne frage sollte ich mir wieder windows 2000 professional, oder lieber suse linux auf den rechner spielen jetzt nur von der sicherheit her ?

06.07.2007, 15:09	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	mgrs.exe ? was isst dass für ein programm mgrs.exe scheint dieser hier zu sein. Da ist wohl aber noch mehr Unrat in deinem System: C:\WINNT\system32\drvmif.dll C:\WINNT\SYSTEM32\winhdn32.dll Werte diese Dateien sowie die mgrs.exe C:\WINNT\mgrs.exe nacheinander bei Virustotal aus und poste alle Ergebnisse, inkl. Dateigröße und md5-Checksumme. __________________ __________________

mgrs.exe ? was isst dass für ein programm

Plagegeister aller Art und deren Bekämpfung: mgrs.exe ? was isst dass für ein programm