mscnfg32.exe

Dieses Thema im Forum "Windows XP / Server 2003/2008 / Vista" wurde erstellt von Cassiel, 26. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Cassiel

    Cassiel ROM

    Registriert seit:
    26. Mai 2004
    Beiträge:
    2
    Hallo, ich habe da ein kleines Problemchen ^^

    Seit kurzem tummelten sich zwei schöne Dateien bei mir rum:
    sndcfg16.exe & mscnfg32.exe

    Erstere bin ich losgeworden aber die 2. ist hartnäckig. Habe schon bei google gesucht und nichts gefunden.

    Die mscnfg32 sorgt dafür das ich nicht mehr in's Internet komme und eigentlich garnichts mehr machen kann, bis ich den prozess kille aber nach ner halben stunde oder länger ist er wieder da -.-"

    Hoffe ma auf Hilfe ^^

    Ahja, Ich poste ma die Hijack Log ^^

    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\Programme\DriveCrypt\DcrServ.exe
    C:\Programme\No-IP\DUC20.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\NVATray.exe
    C:\Programme\D-Tools\daemon.exe
    C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Programme\Winamp\winamp.exe
    C:\Programme\WinMX\WinMX.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\mscnfg32.exe
    C:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.blazefind.com/search.php?search=%s
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.blazefind.com/search_page.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com
    O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing)
    O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [anvshell] anvshell.exe
    O4 - HKLM\..\Run: [LiveNote] livenote.exe
    O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Microsoft Config 32bit] mscnfg32.exe
    O4 - HKLM\..\RunServices: [Microsoft Config 32bit] mscnfg32.exe
    O4 - HKCU\..\Run: [DriveCrypt Startup] C:\Programme\DriveCrypt\DriveCrypt.exe /WS
    O4 - HKCU\..\Run: [Microsoft Config 32bit] mscnfg32.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
    O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
    O9 - Extra button: ICQ Pro (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38002.1837962963
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


    Greetz
    Cassiel
     
  2. Cassiel

    Cassiel ROM

    Registriert seit:
    26. Mai 2004
    Beiträge:
    2
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\Programme\DriveCrypt\DcrServ.exe
    C:\Programme\No-IP\DUC20.exe << Brauch ich für einen ftp, leitet von einer adresse z.b http:/*.no-ip.com auf meine Ip-Adresse um ^^
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\NVATray.exe
    C:\Programme\D-Tools\daemon.exe << Für CD-Images zum mounten ^^
    C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Programme\Winamp\winamp.exe
    C:\HijackThis.exe
    C:\Programme\Internet Explorer\iexplore.exe

    O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install << Nvidia
    O4 - HKLM\..\Run: [anvshell] anvshell.exe
    O4 - HKLM\..\Run: [LiveNote] livenote.exe
    O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [DriveCrypt Startup] C:\Programme\DriveCrypt\DriveCrypt.exe /WS
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
    O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
    O9 - Extra button: ICQ Pro (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38002.1837962963
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    Den Rest der Sachen kann ich alle bestimmen, und es hat sich nichts mehr gerührt... Ich versuch mal mein Sys zu patchen, weil für ein Format hab ich noch zu viele Sachen drauf, die ich nicht sichern kann :(
     
  3. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    stimmt, hatte ich übersehen....
    bi.dll ist natürlich auch spyware
    bei den cfg.exe tools könnte es sich ebensogut als trojaner renamed applikationen handeln wenn ich mir die dateinamensliste auf http://www.f-secure.com/v-descs/sdbot_mb.shtml so ankucke, aber das muss der anwender selbst rausfinden was er alles aufn rechner drauf hat.
    trotzdem sind da noch viele exoten (programme) drauf, wo ich mich frag wozu das gut ist , z.b. C:\Programme\No-IP\DUC20.exe
    und C:\Programme\WinMX\WinMX.exe....:D
    aber egal.....
    das beste wäre hier schon winXP neu und dann gleich den sp2 mit drauf , der den IE6 usw. jetzt besser schützt vor ungewollten background-installationen.
     
  4. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ Cassiel

    Dein System ist ungepatcht:eek: .
    Da dein System hochgradig verseucht ist,gibt es nur eine Möglichkeit: Setze dein System neu auf, da es nicht mehr vertrauenswürdig ist.

    @ bond7

    Nein, gehören sich nicht.

    Die sndcfg16.exe ist SdBot.MB.
    Info: http://www.f-secure.com/v-descs/sdbot_mb.shtml

    Die mscnfg32.exe ist Backdoor.Rbot.gen
    Info: http://sophos.com/virusinfo/analyses/w32rbotr.html
    http://www.chip.de/forum/thread.html?bwthreadid=644940&bwpage=2&bwsortorder=ascending
     
  5. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @Cassiel
    du hast da sehr exotische sachen mit dabei, aber nach einigen google-aktionen konnte ich keins der dinge zu was gefährlichem zuordnen.
    diese 2 von dir benannten configurations utilities gehören ja bestimmt zu einer hardwaremässigen anwendung ? richtig....
     
  6. Gast

    Gast Guest

    Hi! Sieht für mich auf den ersten Blick aus wie ein netter Zoo. Bei manchen Sachen gehe ich davon aus, daß Du sie zuordnen kannst, das habe ich jeweils dazugeschrieben. Dann natürlich nicht fixen. Solltest Du es nicht installiert haben, dann weg damit.

    C:\Programme\No-IP\DUC20.exe
    Das wirst Du zuordnen können, nehm ich an.

    C:\Programme\D-Tools\daemon.exe
    Das ebenso, hoffe ich.

    C:\WINDOWS\System32\mscnfg32.exe
    Das wäre die Datei, die Dir Probleme bereitet. Diesen Eintrag ggf. fixen lassen.

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.blazefind.com/search.php?search=%s
    Brauchst Du das?

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.blazefind.com
    Ebenso -- gewollt?

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.blazefind.com/search_page.php
    Siehe oben.

    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.blazefind.com
    Und nochmal.

    O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing)
    Das würde ich fixen.

    O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
    Das auch.

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    Du weißt, was das ist, nehme ich an.

    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
    Siehe oben, Du kennst das Programm, hoffe ich.

    O4 - HKLM\..\Run: [Microsoft Config 32bit] mscnfg32.exe
    Dein Problem, glaube ich. Fixen.

    O4 - HKLM\..\RunServices: [Microsoft Config 32bit] mscnfg32.exe
    Dito.

    O4 - HKCU\..\Run: [Microsoft Config 32bit] mscnfg32.exe
    Siehe oben. Fixen.

    O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - Würde ich fixen. [url]h**p://www.ea.com/downloads/rtpatch/EARTPX.cab[/url]
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - Das auch. Es sei denn, Du kennst die Anwendung. MfG Vimes
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen