msdn.exe

16.07.2005, 21:17

Wenn ich einen Online-Scan bei security.norton.com mache, erzählt der mir, dass die msdn.exe im system32-Ordner befallen ist...aber so eine gibt es gar nicht. Ist das nicht ein Dienst?
In dem Ordner gibt es jedenfalls keine ("alle Dateien anzeigen" ist natürlich aktiviert) und per Suchfunktion finde ich die auch nirgends auf C.
Aber ich hatte ganz am Anfang dieser XP-Installation - erst ein paar Monate her - einen Eintrag msdn in msconfig, den ich gelöscht habe und der seit dem auch nicht wiedergekehrt ist. Dazu muss ich sagen dass ich so was noch nie vorher hatte und es mir schon komisch vorkam.

Also spinnt nur der Online-Scan oder ist da noch was Getarntes auf der Platte?

16.07.2005, 22:35

Hallöchen,

mach doch mal einen Scan mit HijackThis und kopiere das Logfile hier ins Forum. Möglicherweise entdecken wir so, was auf deinem Rechner eventuell schief läuft...

https://www.dirks-computerecke.de/hij...-anleitung.htm

17.07.2005, 00:42

Achso, das hab ich schon überprüft und da sollte eigentlich nichts zu finden sein, aber hier ist ein aktueller Log:

Logfile of HijackThis v1.99.1
Scan saved at 00:36:51, on 17.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
E:\Tools\BitComet\BitComet.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Tools\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.internetcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe "
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Tools\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Tools\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {39087E8E-B5A9-42C4-87CA-FA9330DC6633} - E:\Tools\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {39087E8E-B5A9-42C4-87CA-FA9330DC6633} - E:\Tools\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - https://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://v5.windowsupdate.microsoft.com/v ... 7900745183
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - https://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - https://runonce.msn.com/setacceptlang.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{565A8D5E-3375-42AB-AEE0-09B7D873C8B6}: NameServer = 213.168.112.60 81.173.194.68
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

17.07.2005, 12:29

Hi
Also erstens dein MSIE: Internet Explorer v6.00 (6.00.2600.0000 ist alt,
besuche: https://www.windowsupdate.com und aktualisiere dein Browser!#

Und guck mal ob du das kennst:
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe E:\Tools\BitComet\BitComet.exe

Und das ist eventuell böse:

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {39087E8E-B5A9-42C4-87CA-FA9330DC6633} - E:\Tools\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
Eventuell Böse Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen.
Wenn der Eintrag 'Klicke hier um das Projekt xp' nicht bekannt ist, fixen!
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {39087E8E-B5A9-42C4-87CA-FA9330DC6633} - E:\Tools\xp-AntiSpy\sponsoring\sponsor.html (HKCU

mfg
misskissyou

P.S.Du kannst selber unter:
https://www.hijackthis.de/ dein HJT Logfile auswerten.

18.07.2005, 01:02

Mein IE ist mir ziemlich egal, weil ich Firefox benutze.
BitComet ist ein Bit Torrent Client, also den mag ich.

Und XPAntiSpy ist auch nichts Böses, sondern ein Tool um XP ein paar dumme Sachen abzugewöhnen.

Hab den Log schon da auswerten lassen, nur mal so zum Spass, aber der erkennt längst nicht alles und einiges, das harmlos ist stuft er als unbekannt ein, wie eben alle diese Sachen die du soeben aufgezählt hast. :P

Wie gesagt, ich bin mir zu 99,99% sicher, dass da nichts zu finden ist. Aber Norton erkennt msdn.exe doch nicht aus Spass, ich find das schon komisch...

18.07.2005, 08:42

Hallöchen,

mitunter erkennen Antivirenprogramme auch Routinen falsch. Eine Weile hat Antivir bei mir Skype für einen Trojaner gehalten. Wir haben dann den Hersteller von Antivir benachrichtigt und es wurde behoben. Am besten holst du dir einfach mal eine zweite Meinung ein. Installier doch mal vorübergehend ein anderes Antivirenprogramm zusätzlich oder laß einen Online-Scan machen...

18.07.2005, 21:58

Das war ja aus einem Online-Scan von Norton. Kann schon sein, dass er das falsch erkennt, aber wieso wird eine Datei gefunden die es nicht gibt?
Das spricht dafür, dass es diese Datei doch geben muss und ich sie bloss nicht sehen kann, weil sie mir vorenthalten wird.

Vielleicht wäre es nützlicher zu wissen, welche Methoden es gibt unsichtbare Dateien anzeigen zu lassen. Also "alle Dateien anzeigen" ist klar, das ist schon aktiviert. Über die Eingabeaufforderung in XP sehe ich auch nichts...kann man da theoretisch auch versteckte Dateien sehen (also wenn "alle Dateien anzeigen" nicht aktiviert ist) oder gelten die Einstellungen auch für dort?
Wäre es möglich, dass ich mit einem anderen Explorer weitere versteckte Dateien angezeigt bekomme (Midnight Commander usw)? ContentIE5 oder wie der Ordner in Temp heisst ist ja auch komplett verborgen und muss von Hand geöffnet werden (sprich, den Namen eintippen). Eventuell ist die Datei so ähnlich versteckt?
Ich würde ja mal im system32-Ordner msdn.exe eingeben, aber ich trau mich nicht...

Welche Möglichkeiten gibt es da noch?

18.07.2005, 22:07

das häkchen bei "alle dateien anzeigen" bezieht sich ja nur auf vesteckte dateien. möglicherweiße handelt es sich bei der von dir gesuchten datei aber um eine geschützte systemdatei. diese kannst du wie die versteckten dateien durch das entsprechende häkchen anzeigen lassen. das häkchen, das du entfernen solltest, ist bei "geschützte systemdateien ausblenden".

19.07.2005, 01:09

Achja, genau, da war noch was...aber die Option war bei den Häkchen und nicht bei den Radio Buttons...naja, das hab ich glatt übersehen. Obwohl ich das von früher noch weiss, da war's glaub ich auch intuitiver angeordnet.
Danke!
Jetzt seh ich die Datei natürlich. Also sollte ich mich vielleicht doch mal drum kümmern...

Einen Prozess dieses Namens sollte man nicht haben, oder? Hab den wie gesagt damals mal rausgeschmissen nachdem die Datei erkannt wurde. Nicht dass man den braucht...

msdn.exe

msdn.exe

Benutzer, die dieses Thema gelesen haben: 0