Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   msnsrv.exe = so eine böse datei (https://www.trojaner-board.de/27241-msnsrv-exe-so-boese-datei.html)

tom_stoe 01.03.2006 17:14
msnsrv.exe = so eine böse datei
 
msnsrv.exe nennt sich auch "msn service" wie wird man dieses ding wirklich los? habs schon mit run/services.msc gestoppt nervt aber trotzdem noch
danke an die helfer

Logfile of HijackThis v1.99.1
Scan saved at 16:28:15, on 01.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\msnsrv.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\setup.exe
C:\Documents and Settings\stt\My Documents\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: ATLDistrib Object -

{2353FCBC-012D-487B-8BF3-865C0929FBEB} -

C:\WINDOWS\System32\mllig.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} -

C:\WINDOWS\System32\fcyvw.dll
O8 - Extra context menu item: &Google Search - res://C:\Program

Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program

Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page -

res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Easy-WebPrint Add To Print List -

res://C:\Program

Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print -

res://C:\Program

Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program

Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program

Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program

Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Spyware Doctor -

{2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -

C:\PROGRA~2\SPYWAR~1\tools\iesdpb.dll
O17 -

HKLM\System\CCS\Services\Tcpip\..\{27D010AC-5637-4786-99BC-27C8D

D55BFE4}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList =

195.3.96.67,195.3.96.68
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList =

195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList =

195.3.96.67,195.3.96.68
O19 - User stylesheet: C:\WINDOWS\windows.dat
O20 - AppInit_DLLs: 8vvj77jfzov8.dll.dll
O20 - Winlogon Notify: fcyvw - C:\WINDOWS\SYSTEM32\fcyvw.dll
O20 - Winlogon Notify: mllig - C:\WINDOWS\System32\mllig.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown

owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program

Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program

Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program

Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel

32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program

Files\iPod\bin\iPodService.exe
O23 - Service: Msn Service (MSNSVC) - Unknown owner -

C:\WINDOWS\msnsrv.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools -

C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -

C:\WINDOWS\system32\ZONELABS\vsmon.exe

cacatoa 01.03.2006 19:23
Hi,
in deinem völlig ungepatchten und damit für alles Böse offenen System befindet sich mehreres, was mir nicht gefällt.
Diese Datei:
C:\WINDOWS\msnsrv.exe
bei Jotti online scannen lassen und das Ergebnis bitte komplett posten.
cacatoa

Rene-gad 01.03.2006 19:27
Servus cacatoa
Zitat:
Diese Datei: C:\WINDOWS\msnsrv.exe bei Jotti online scannen lassen
Ich heiße nicht Jotti, gehe aber davon aus ;)

cacatoa 01.03.2006 19:43
Ja, Rene-Gad-Jotti, ich auch. Da sie allerdings nicht im Systemordner sitzt, hätte ich gerne Sicherheit ;)
cacatoa

Rene-gad 01.03.2006 19:56
@tom_stoe
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Schon von cacatoa gesagt :) :( :cool:
Zitat:
C:\WINDOWS\msnsrv.exe
O2 - BHO: ATLDistrib Object - {2353FCBC-012D-487B-8BF3-865C0929FBEB} -
C:\WINDOWS\System32\mllig.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} -
C:\WINDOWS\System32\fcyvw.dll
O19 - User stylesheet: C:\WINDOWS\windows.dat
O20 - AppInit_DLLs: 8vvj77jfzov8.dll.dll
O20 - Winlogon Notify: fcyvw - C:\WINDOWS\SYSTEM32\fcyvw.dll
O20 - Winlogon Notify: mllig - C:\WINDOWS\System32\mllig.dll
Ich weiß nicht, ob man Jotti belasten soll? Für mich gibt es hier nur eine Empfehlung.

Sabina 01.03.2006 20:39
Zitat:
Für mich gibt es hier nur eine Empfehlung.
stimmt..schon den Aufwand, den man hat, um windows.dat zu loeschen, ist ein ungepatchtes System nicht wert (meine Meinung ) ;)
http://virus-protect.org/artikel/spy...ndows_dat.html

tom_stoe 01.03.2006 20:51
hi leute danke mal
habs eigentlich mit hijack this und dann mit regedit und suchen und dann brutalem löschen der regeinträge geschafft, hat auch lange gedauert. jetzt noch den rest( O19 - User stylesheet: C:\WINDOWS\windows.dat
O20 - AppInit_DLLs: 8vvj77jfzov8.dll.dll) und dann passt es, aber ne frage? was heist eigentlich gepatcht/ungepatcht? verwende zonealarm als freeware wohl etwas zuwenig oder?

Yopie 01.03.2006 21:07
Zitat:
Zitat von tom_stoe
hi leute danke mal
was heist eigentlich gepatcht/ungepatcht? verwende zonealarm als freeware wohl etwas zuwenig oder?
Ungepatcht:
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Es gibt mittlerweile (auch schon länger) Service Pack 2, du hast noch nicht einmal das erste!

Autovergleich: Du fährst eine Rostlaube ohne Bremsen!

Zitat:
verwende zonealarm als freeware wohl etwas zuwenig oder?
Dafür hast du eine ganz laute Hupe reingebaut.

Neuaufsetzen gem. Anleitung in meiner Signatur ist angesagt.
--> Pimp my Computer!

Gruß :daumenhoc
Yopie

Sabina 01.03.2006 21:31
tom_stoe

die Eintraege, die im HijackThis sichtbar sind...stellen nur die Spitze vom Eisberg dar.
Der PC ist bis an die Halskrause verseucht.
Du musst formatieren.

tom_stoe 01.03.2006 22:32
hier der jotti scan:
Jottis Malwarescan 2.99-TRANSITION_TO_3.00
Datei, die hochgeladen und gescannt werden soll:

Datei: msnsrv.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PESPIN

AntiVir
Worm/SdBot.56320.31 gefunden
ArcaVir
Trojan.Sdbot.Xd gefunden
Avast
Keine Viren gefunden
AVG Antivirus
IRC/BackDoor.SdBot.WHF gefunden
BitDefender
Backdoor.SDBot.ALP gefunden
ClamAV
Keine Viren gefunden
Dr.Web
BackDoor.IRC.Sdbot.based gefunden
F-Prot Antivirus
W32/Sdbot.OMD gefunden
Fortinet
W32/SDBot.X!bdr gefunden
Kaspersky Anti-Virus
Backdoor.Win32.SdBot.xd gefunden
NOD32
a variant of IRC/SdBot gefunden
Norman Virus Control
W32/SDBot.YLH gefunden
UNA
Keine Viren gefunden
VBA32
Backdoor.Win32.SdBot.xd gefunden

wohl noch immer da :mad:

cacatoa 02.03.2006 09:08
Hi,
genau das wollte ich sehen. Daß Du Dein System neu aufsetzen mußt, dürfte nach den Posts der verschiedenen Regulars klar sein. Ich wollte wissen, was genau sich außer den "üblichen Verdächtigen" hinter der Datei versteckt. Wieder mal hat sich gezeigt, wie Malware verändert wird....
cacatoa


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55