virus msetus.exe, msecu.exe und nzlrs.exe ???

Diskutiere virus msetus.exe, msecu.exe und nzlrs.exe ??? im Security / Firewall / Virenabwehr Forum im Bereich Security / Firewall / Virenabwehr; hallo zusammen, ich hoffe mir kann jemand weiterhelfen. Vermutlich habe ich mir einen virus eingefangen. bin ich im internet, öffnet sich ein...
#1
S

sweety0815

Threadstarter
Dabei seit
07.06.2007
Beiträge
6
hallo zusammen,
ich hoffe mir kann jemand weiterhelfen.
Vermutlich habe ich mir einen virus eingefangen. bin ich im internet, öffnet sich ein fenster, das msecu.exe nicht extrahiert werden kann. ich habe dann diese programme löschen wollen, was aber bei nzlrs.exe nicht geht. die anderen sind im papierkorb, aber dort kann ich sie nicht löschen?!
außerdem öffnet sich jedesmal der inet-explorer und will eine drivecleaner installieren... was ich aber nicht will.

habe das mit dem hijackthis gemacht und habe folgendes in der reportdatei stehen:

Logfile of HijackThis v1.99.1
Scan saved at 18:54:30, on 07.06.2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\VTTimer.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svshost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip8.0\winzip32.exe
C:\unzipped\hijackthis_199\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] $$
O4 - HKLM\..\Run: [avgnt] $$
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\System32\Isass.exe
O4 - HKLM\..\Run: [Windows Logon Application] $$
O4 - HKLM\..\Run: [Windows Update Firewall System] $$
O4 - HKLM\..\Run: [Services] $$
O4 - HKLM\..\Run: [Windows Config System] $$
O4 - HKLM\..\Run: [Application Layer Gateway Service] $$
O4 - HKLM\..\Run: [Advanced DHTML Enable] $$
O4 - HKLM\..\Run: [Spooler SubSystem App] $$
O4 - HKLM\..\Run: [,realset] $$
O4 - HKLM\..\Run: [winmsfws.exe] $$
O4 - HKLM\..\Run: [config.exe] $$
O4 - HKLM\..\Run: [setup] $$
O4 - HKLM\..\Run: [$$] $$
O4 - HKLM\..\Run: [Microsoft® Windows® Updating System] $$
O4 - HKLM\..\Run: [Windows Network Firewall] $$
O4 - HKLM\..\Run: [msresource.exe] $$
O4 - HKLM\..\Run: [Microsoft Internet Explorer] $$
O4 - HKLM\..\Run: [Winamp Agent] $$
O4 - HKLM\..\Run: [j5281932] rundll32 C:\WINNT\System32\j5281932.dll sook
O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfws.exe
O4 - HKLM\..\RunServices: [Microsoft® Windows® Updating System] msresource.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft® Windows® Updating System] msresource.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1179059996252
O20 - AppInit_DLLs: c:\winnt\system32\urstqpp.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Alternative User Input Services (Ctfmon) - Unknown owner - C:\WINNT\ctfmon.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: Copyright (C) 2001-2005 S3 Graphics, Inc. (S3 Graphics, Inc.) - Unknown owner - C:\WINNT\VTTimer.exe
O23 - Service: Windows Utility Process - Unknown owner - C:\WINNT\system32\svshost.exe

ich hoffe mir kann jemand helfen ... ich weiß nicht was ich machen soll.

danke + grüße,
sweety0815
 
#2
Mike

Mike

i7-6700HQ
Team
Dabei seit
21.09.2006
Beiträge
24.349
Ort
in der Nähe eines Rechners
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\VTTimer.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svshost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip8.0\winzip32.exe
C:\unzipped\hijackthis_199\HijackThis.exe
Boah, total ver-virt da ist einiges drauf

Du kannst versuchen dir ROTEN Einträge zu fixen und schauen ob danach wieder alles normal geht.
 
#3
S

sweety0815

Threadstarter
Dabei seit
07.06.2007
Beiträge
6
danke für deine antwort.
aber kannst du mir bitte noch sagen wie ich das mache?
kenn mich da absolut nicht aus ...
danke!
 
#5
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Habs noch mal geknipst,dann kann er besser vergleichen.
Sieht echt ziemlich übel aus.

HijackThis Logfileauswertung.png
 
#6
B

buma

Dabei seit
04.01.2007
Beiträge
2.705
Bei sovielen Viren und gelben Fragezeichen würde ich gleich System neuaufsetzen :no

Und dann einen aktuellen Virenscanner runterladen und auf "Datenbanken automatisch runterladen" stellen ;)
 
#7
D

Digit

Dabei seit
04.03.2007
Beiträge
1.747
#8
Mike

Mike

i7-6700HQ
Team
Dabei seit
21.09.2006
Beiträge
24.349
Ort
in der Nähe eines Rechners
Nicht alles muss schädlich sein, wohl aber einiges doch !
....
Ich würde formatieren und alle Passwörter wechseln.
Nett umschrieben :D .... wieso empfiehlst du dann formatieren ? ;)

Er hat sich ausgerechnet ein paar ganz blöde eingefangen, die kann man aber auch ohne Formatieren noch bereinigen
 
#9
D

Digit

Dabei seit
04.03.2007
Beiträge
1.747
Nett umschrieben :D .... wieso empfiehlst du dann formatieren ? ;)

Er hat sich ausgerechnet ein paar ganz blöde eingefangen, die kann man aber auch ohne Formatieren noch bereinigen
Hallo MikeK,

gib mal die diese exe Dateien in die von mir genannten Links ein.
Nach dem Löschen solcher Malware ist das System nicht mehr vertrauenswürdig.
Reste können übrig bleiben und Schädlinge nachladen und und...

C:\WINNT\System32\mgabg.exe
C:\WINNT\System32\internat.exe

müssen keine Schädlinge sein.
 
#10
P

Prometheus

Gast
Unbedingt aufpassen:

lsass.exe mit kleinem L ist nicht schändlich, jedoch Isass.exe. mit einem großen i vorneweg. Letzteres ist der Sasser-Virus.

svshost nicht mit svchost verwechseln. Letzteres ist ein gängiger Systemprozess. Erstere der Virus P2P.Spybot.gen !!

internat.exe ist noch genauer zu identifizieren. Im Ordner system32 ist dieser ein Systemprozess. Befindet sich dieses file in einem anderen Ordner ist es ein Virus.

Folglich: nicht gleiche alle files fixen. Erst noch genauer betrachten.

Aber die Online-Auswertung von Hijackthis scheint dies sehr gut zu erkennen.



Habe selber eine Auswertung gemacht. Die Einträge in folgendem Auszug sind aber widersprüchlich!?
 
Zuletzt bearbeitet von einem Moderator:
#11
D

Digit

Dabei seit
04.03.2007
Beiträge
1.747
@Prometheus

ALCMTR.EXE soll zur Realtek gehören und evtl. Spyware sein.

So was muss nicht mitstarten, die Datei könnte man auch mal bei Jotti etc. prüfen lassen - muss vorher aber beendet sein.

PS. wenn ich gelegentlich mal einen JavaScriptvirus o.ä. entdecke, formatiere ich nicht.
Bei einem Backdoor mit/ohne Rootkitfunktion, dann schon.
(Bzw. Backup)
 
#12
B

buma

Dabei seit
04.01.2007
Beiträge
2.705
Habe selber eine Auswertung gemacht. Die Einträge in folgendem Auszug sind aber widersprüchlich!?
I-wie schon :rofl1

Er hat sich ausgerechnet ein paar ganz blöde eingefangen, die kann man aber auch ohne Formatieren noch bereinigen
Da stellt sich aber die Frage ob die wircklich "gefixt" werden. I-welche Überreste bleiben immer zurück ;)
 
#13
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Da stellt sich aber die Frage ob die wircklich "gefixt" werden. I-welche Überreste bleiben immer zurück
Fixe die bösen Einträge,fahre den Pc runter..dann erstell noch mal ein neues HJT Logfile und schau was dann ist.
Anschließend einen Virenscanner drüberlaufen lassen.
 
#17
P

Phraser

Dabei seit
28.10.2006
Beiträge
2.767
ALCMTR.EXE soll zur Realtek gehören und evtl. Spyware sein.
Dieser Prozess hab ich auch noch am laufen, wobei ich sagen muss das ich Sicherheitstechnisch keine Probleme hab mit GData IS 07 (was natürlich keine 100%ige Versicherung ist)

Aber komischerweise bring ich den letzten auch nicht weg...
 
#18
N

naubi

Dabei seit
20.06.2007
Beiträge
3
nabend....
meine alte festplatte ist durchgebrannt und da hab ich mir ne neue eholt...
war eine min im netz um avira und so zu loaden^^ und schon hab ich mir unzählige viren eingefangen >.< ich habe gehofft ,dass ihr mir hilft siezu beseitigen...thx im voraus ^.^ :


Logfile of HijackThis v1.99.1
Scan saved at 22:35:47, on 20.06.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\aspimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svshost.exe
c:\msetus.exe
c:\bsys5.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] $$
O4 - HKLM\..\Run: [Spooler SubSystem App] $$
O4 - HKLM\..\Run: [SMSERIAL] $$
O4 - HKLM\..\Run: [NvCplDaemon] $$
O4 - HKLM\..\Run: [nwiz] $$
O4 - HKLM\..\Run: [NvMediaCenter] $$
O4 - HKLM\..\Run: [sm56hlpr.exe] $$
O4 - HKLM\..\Run: [$$] $$
O4 - HKLM\..\Run: [WinAntiSpyware 2006 Free] $$
O4 - HKLM\..\Run: [DC6_Check] $$
O4 - HKLM\..\Run: [ERS_Check] $$
O4 - HKLM\..\Run: [uwas6cw] $$
O4 - HKLM\..\Run: [WMDM PMSP Service] $$
O4 - HKCU\..\Run: [CTFMON.EXE] $$
O4 - HKCU\..\Run: [MsnMsgr] $$
O4 - HKCU\..\Run: [ICQ] $$
O4 - HKCU\..\Run: [ silent] $$
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\System32\aspimgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Time Pluger - Unknown owner - C:\WINDOWS\system32\svshost.exe


bitte alles melden was ihr entdeeckt:(
 
#19
D

Digit

Dabei seit
04.03.2007
Beiträge
1.747
#20
N

naubi

Dabei seit
20.06.2007
Beiträge
3
Ich weiß welche programme die trojaner beinhalten... aber das bring mir nichts...
löschen hilft net avira macht auch nichts außer spamen >.<(eigt das schilmmste an den viren XD) und spybot....naja ich weiß net ob er die ls viren empfindet XD
 
Thema:

virus msetus.exe, msecu.exe und nzlrs.exe ???

virus msetus.exe, msecu.exe und nzlrs.exe ??? - Ähnliche Themen

  • was kann ich tun,um den **** Virus von meinem PC ZU BEKOMMEN

    was kann ich tun,um den **** Virus von meinem PC ZU BEKOMMEN: HABE SEIT UNGEFÄHR VIER WOCHEN EINEN Virus. Was kann ich tun? Habe schon so oft gescant auf vieren, aber alles umsonst.
  • Anti- Virus App für Windows 10 Phone

    Anti- Virus App für Windows 10 Phone: Hallo, ich bin auf der Suche nach einer Antivirus App für meine Windows Phone Lumia 650 und 950. Leider finde ich im Microsoft Store dazu...
  • Virus oder seriöse Nachricht von Windows?

    Virus oder seriöse Nachricht von Windows?: ich erhalte seit einigen Wochen folgenden Hinweis wenn ich mich auf der Eingangsseite Windows Edge befinde...
  • ist das ein virus auf meinem Pc?

    ist das ein virus auf meinem Pc?: ein lang anhaltender pip Tower sendet das auff meinen Pc
  • RegEdit Virus

    RegEdit Virus: Hallo liebe Conmunity, ich habe zu 99 % ein Virus im RegEdit. Es fängt damit an, dass ich z.B. Computerspiele, Word und Norton nicht öffnen...
  • Ähnliche Themen

    • was kann ich tun,um den **** Virus von meinem PC ZU BEKOMMEN

      was kann ich tun,um den **** Virus von meinem PC ZU BEKOMMEN: HABE SEIT UNGEFÄHR VIER WOCHEN EINEN Virus. Was kann ich tun? Habe schon so oft gescant auf vieren, aber alles umsonst.
    • Anti- Virus App für Windows 10 Phone

      Anti- Virus App für Windows 10 Phone: Hallo, ich bin auf der Suche nach einer Antivirus App für meine Windows Phone Lumia 650 und 950. Leider finde ich im Microsoft Store dazu...
    • Virus oder seriöse Nachricht von Windows?

      Virus oder seriöse Nachricht von Windows?: ich erhalte seit einigen Wochen folgenden Hinweis wenn ich mich auf der Eingangsseite Windows Edge befinde...
    • ist das ein virus auf meinem Pc?

      ist das ein virus auf meinem Pc?: ein lang anhaltender pip Tower sendet das auff meinen Pc
    • RegEdit Virus

      RegEdit Virus: Hallo liebe Conmunity, ich habe zu 99 % ein Virus im RegEdit. Es fängt damit an, dass ich z.B. Computerspiele, Word und Norton nicht öffnen...
    Oben