mstask.exe oder MSTask.exe
 

Moin,

habe bei einem Windows2000 Client einige Ungeziefer gefixt. Jetzt meldet Hijackthis noch folgendes wobei ich mir unsicher bin, ob das i. o. ist:

Wenn ich im Taskmanager nachsehe, sehe ich nur einen Prozess mstask.exe laufen? Warum schreibt Hijackthis die ersten 3 Buchstaben groß? Wenn ich im C:\Winnt\system32 nachsehe, sehe ich nur eine Datei mit mstask.exe :confused:

Logfile:
Folgendes werde ich noch fixen:

Hallo fly007

die Datei sollte harmlos sein, um es genau zu wissen beende den Prozess im Taskmanager und lasse mal die Datei hier scannen und teile das Ergebnis mit,
für die Aktion solltest du deinen Virenscanner deaktivieren

führe das folgende Tool aus http://www.trojaner-info.de/anleitun...out_blank.html

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:
wenn das nicht deine Startseite ist

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http: //4-counter.com/?a=2&b=alexxp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http: //4-counter.com/?a=2&b=alexxp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http: //4-counter.com/?a=2&b=alexxp
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http: //4-counter.com/?a=2&b=alexxp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http: //4-counter.com/?a=2&b=alexxp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

auf jeden fall fixen:

O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINNT\system32\winproc32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{013734A5-FB66-40A4-B3A2-1EC12970ECFE}: NameServer = 10.45.94.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{013734A5-FB66-40A4-B3A2-1EC12970ECFE}: NameServer = 10.45.94.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{013734A5-FB66-40A4-B3A2-1EC12970ECFE}: NameServer = 10.45.94.11
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINNT\system32\xplugin.dll

von Hande löschen:

C:\WINNT\system32\xplugin.dll
C:\WINNT\system32\winproc32.exe

neu booten neuse HJT posten

Hallo Gigamail, danke für die ausführliche Antwort.

Jetzt bin ich den Trojaner los, jedoch habe ich im Windows ein Problem, da der Desktop - Hintergrund ganz Schwarz ist mit Schrift: Warning Your Computer might be infected with spyware or adware!!

Und ich kann den Desktop Hintergrund nicht ändern, weil ich kein Reiter mit Hintergrundbild mehr habe. Ich habe mit einem anderen Win2k System verglichen, da fehlen im Desktop/Eigenschaften 3 Reiter (Hintergrundbild, Web und Darstellung)? Wie kann ich das wiederherstellen?

Aktuelle Hijackthis Logfile:

schau mal hier

der Eintrag sollte doch auch mit gefixt werden und die Datei im abgesicherten Modus gelöscht werden
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINNT\system32\winproc32.exe
sonnst sieht das Log sauber aus, du solltest aber noch einen eScan durchführen (siehe meine Signatur) halte dich an die Anleitung

Danke für deine Hilfe! :knuddel: Folgender Eintrag habe ich nicht im Abgesicherten Modus gefunden, aber im Windows erfolgreich gefixt.
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINNT\system32\winproc32.exe