Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Nach PC-Absturz Trojaner msa.exe und weitere entdeckt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.08.2009, 23:13   #1
floppyka
 
Nach PC-Absturz Trojaner msa.exe und weitere entdeckt - Frage

Nach PC-Absturz Trojaner msa.exe und weitere entdeckt



Im Systemtray erleuchtete soeben das Shield-Icon vom Sicherheitscenter und meldete kurz etwas davon, dass mein PC angegriffen wird. Noch bevor ich das Netzwerkkabel ziehen konnte, verabschiedete sich mein Win XP Pro mit einem Bluescreen.
Nach einem Neustart war im Sicherheitscenter die Win-Firewall komplett deaktiviert - diese habe ich sonst standarmäßig immer an.
Im Taskmanager ist mir dann der Prozess msb.exe bzw. msa.exe aufgefallen. Habe dann Malwarebytes' Anti-Malware durchlaufen lassen, wo mir direkt 15 infizierte Dateien angezeigt wurden, die jetzt in Quarantäne sind.
(habe in einem englischsprachigen Forum bzgl. msb.exe den Weg zu Malwarebytes gefunden und dieses durchlaufen lassen, bevor ich den Weg hierher gefunden habe, darum lief CCleaner & RSIT noch nicht durch)
Bin sehr beunruhigt und würde mich freuen wenn mir Rat gegeben werden könnte wie ich weiter vorgehen muß.
Hier mein Malwarebytes Log:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2710
Windows 5.1.2600 Service Pack 2

28.08.2009 20:09:08
mbam-log-2009-08-28 (20-09-08).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 89948
Laufzeit: 2 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e24211b3-a78a-c6a9-d317-70979ace5058} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\net.net (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\UACd.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\UAC5805.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\wcmrsxeano.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\rasvsnet.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\scxaowemnr.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sxcnoawerm.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\osnmxeacrw.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\prun.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\msb.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
         
Dies war nur ein Quick Scan aber der Deep Scan hat nichts weiter ans Licht gebracht. Es wurden im Deep Scan lediglich 5 weitere UNWISE.EXE verschiedener Programme als Malware.Packer.Morphine identifziert und ich bilde mir ein, dass es sich dabei nur um false positive handelt. Viel mehr Sorgen machen mir diese Registry Key Infizierungen - die kann ich sicher nicht so ohne weiteres einfach löschen?!

Alt 29.08.2009, 14:33   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach PC-Absturz Trojaner msa.exe und weitere entdeckt - Standard

Nach PC-Absturz Trojaner msa.exe und weitere entdeckt



Hallo und

bitte diese Liste beachten und abarbeiten. (außer MalwareBytes)

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 29.08.2009, 15:48   #3
floppyka
 
Nach PC-Absturz Trojaner msa.exe und weitere entdeckt - Standard

Nach PC-Absturz Trojaner msa.exe und weitere entdeckt



Danke für deine Anweisungen, habe diese soeben befolgt:
CCleaner und RSIT sind durchgelaufen.
Als Anhang alle 3 Dateien, der oben gepostete mbam-log, sowie die log & info Datei von RSIT:
http://www.file-upload.net/download-...3/log.zip.html
__________________

Alt 29.08.2009, 16:34   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach PC-Absturz Trojaner msa.exe und weitere entdeckt - Standard

Nach PC-Absturz Trojaner msa.exe und weitere entdeckt



Code:
ATTFilter
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
         
Oje! Warum denn noch SP2/IE6?

Code:
ATTFilter
O23 - Service: ODBC Administration Service (odbcasvc) - Unknown owner - C:\WINDOWS\SYSTEM32\odbcasvc.EXE (file missing)
         
Bekommt man übers fixen nicht wirklich weg. Da gehst Du bitte so vor:

1. Klick auf Start, Ausführen (oder Wintaste+R), gib cmd ein => ok
2. das hier eintippen: sc delete odbcasvc

Damit der Dienst gelöscht wird.

Ist das ein Büro-PC? Ich hab da Anwendungen gesehen, die eigentlich für den Heim-/Privatgebrauch ungewöhnlich sind. Es handelt sich um Autodesk-Software (Backburner, 3dsmax), Adobe Acrobat 7 (das Vollprogramm nicht nur der Reader!), Adobe CS3 (so eine Lizenz ist nicht gerade billig)

Code:
ATTFilter
C:\WINDOWS\system32\drivers\UACd.sys (Trojan.Agent)
         
Sieht nach einem uacd-Rootkit aus, daher bitte mal Rootrepeal:

Rootkitscan mit RootRepeal
  • Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
  • Entpacke die Datei auf Deinen Desktop.
  • Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
    .
    Drivers
    Files
    Processes
    SSDT
    Stealth Objects
    Hidden Services

    .
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 29.08.2009, 22:58   #5
floppyka
 
Nach PC-Absturz Trojaner msa.exe und weitere entdeckt - Standard

Nach PC-Absturz Trojaner msa.exe und weitere entdeckt



RootRepeal stürzt bei mir leider immer ab. Driver Scan funktioniert aber sobald ich etwas mit einer Laufwerksangabe Scannen will, wie "Files", oder das von dir gewünschte "Report", dann steht im Programm "Initializing, Please wait..." - auch nach über 3 Stunden wartens tut sich da nichts (Festplattenaktivität ist auch nicht zu hören). Auf "Stop" kann ich dann auch nicht mehr klicken - oben im Fenster erscheint dann "keine Rückmeldung" - damit hängt sich dann mein ganzes System auf, Maus bewegen geht noch, alles andere nicht mehr, nur ein ein Neustart per Reset-Knopf hilft dann.

Gibts ein anderes Tool, z.B GMER, dass den gewünschten Report beschaffen könnte?

Bezüglich SP2/IE6:
Zum Browsen benutze ich IE6 nicht, sondern nur Firefox in neuster Version, von daher sollte meine IE Version egal sein (hoffe ich doch mal - bitte um Aufklärung sollte dies nicht der Fall sein). Was das Service Pack angeht muß ich zugeben, dass als ich mich das letzte mal mit SP3 beschäftigte, ich die Meinung aufgeschnappt und gelgaubt hatte, dass SP3 mehr Probleme bereitet als zu helfen.
Deine schockierte Reaktion auf mein SP2 und der Hinweis auf SP3 bei Win XP im Abschnitt "Nach der Neuinstallation" im Definition: Technische Kompromittierung Thread, macht mir jedoch klar, dass SP3 Pflicht ist.
Sollte ich SP3 jetzt sofort aufspielen oder erst warten bis weitere Sachen, wie Trojaner/Rootkit Probleme geklärt sind?

Nochmal vielen Dank für eure Unterstützung - dieses Forum ist wirklich super!


Alt 31.08.2009, 16:48   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach PC-Absturz Trojaner msa.exe und weitere entdeckt - Standard

Nach PC-Absturz Trojaner msa.exe und weitere entdeckt



1) Rootrepeal: Das Programm ist leider noch etwas buggy und stürzt auf vielen Systemen einfach ab.

2) IE6: Der ist veraltet und es ist unsicher, den weiter installiert zu haben - auch wenn Du ihn nicht zum Surfen verwendest, denn leider nutzt auch Windows intern seine Kernkomponenten. Spiel den IE8 ein. Aber erst später nach einer "Entwarnung".

Da Rootrepeal nicht lief, bitte 1x Combofix anwenden. BITTE GENAU LESEN UND UMSETZEN, INSBESONDERE DEN PUNKT MIT DER UMBENENNUNG!!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!


Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
[/QUOTE]
__________________
--> Nach PC-Absturz Trojaner msa.exe und weitere entdeckt

Alt 31.08.2009, 21:39   #7
floppyka
 
Nach PC-Absturz Trojaner msa.exe und weitere entdeckt - Standard

Nach PC-Absturz Trojaner msa.exe und weitere entdeckt



Bin den Anweisungen genau gefolgt und hat auch einwandfrei funktioniert, hier der ComboFix Log:

Code:
ATTFilter
ComboFix 09-08-31.03 - y 31.08.2009 22:12.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2046.1676 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\18e143.msi
c:\windows\Installer\1d433.msi
c:\windows\Installer\9b438.msi
c:\windows\system\WININETICMP32.drv
c:\windows\system32\drivers\kbiwkmfdnospiq.sys
c:\windows\system32\kbiwkmovmylyap.dll
c:\windows\system32\kbiwkmqompbfjx.dll
c:\windows\system32\kbiwkmsbivmkyr.dat
c:\windows\system32\kbiwkmturubxjc.dat
c:\windows\system32\msvcsv60.dll
c:\windows\system32\slibeh.dll
c:\windows\system32\slibree.dll
c:\windows\system32\sslibfg.dll
c:\windows\system32\sslibjy.dll
c:\windows\system32\sslibkh.dll
c:\windows\system32\ssolefw.dll
c:\windows\system32\ssoleht.dll
c:\windows\system32\ssolekuy.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_kbiwkmxevsyfdi


(((((((((((((((((((((((   Dateien erstellt von 2009-07-28 bis 2009-08-31  ))))))))))))))))))))))))))))))
.

2009-08-29 14:30 . 2009-08-29 14:37	--------	d-----w-	C:\rsit
2009-08-29 14:22 . 2009-08-29 14:22	--------	d-----w-	c:\programme\CCleaner
2009-08-29 13:43 . 2009-08-29 13:43	--------	d-----w-	c:\windows\system32\XPSViewer
2009-08-29 13:43 . 2009-08-29 13:43	--------	d-----w-	c:\programme\MSBuild
2009-08-29 13:43 . 2009-08-29 13:43	--------	d-----w-	c:\programme\Reference Assemblies
2009-08-29 13:43 . 2008-07-06 12:06	89088	-c----w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-08-29 13:43 . 2008-07-06 12:06	575488	-c----w-	c:\windows\system32\dllcache\xpsshhdr.dll
2009-08-29 13:43 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\xpsshhdr.dll
2009-08-29 13:43 . 2008-07-06 12:06	1676288	-c----w-	c:\windows\system32\dllcache\xpssvcs.dll
2009-08-29 13:43 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2009-08-29 13:43 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2009-08-29 13:43 . 2008-07-06 10:50	597504	-c----w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-08-29 13:41 . 2009-08-29 13:41	--------	d-----w-	c:\programme\MSXML 6.0
2009-08-29 13:13 . 2009-08-29 13:19	--------	d-----w-	c:\windows\system32\CatRoot_bak
2009-08-28 21:37 . 2008-06-14 17:57	273024	-c----w-	c:\windows\system32\dllcache\bthport.sys
2009-08-28 21:37 . 2008-06-14 17:57	273024	------w-	c:\windows\system32\drivers\bthport.sys
2009-08-28 18:01 . 2009-08-28 18:01	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-08-28 18:01 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-28 18:01 . 2009-08-28 18:01	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-08-28 18:01 . 2009-08-28 18:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-28 18:01 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-28 17:51 . 2009-08-28 17:51	--------	d-----w-	c:\programme\Twin USB Vibration Gamepad
2009-08-17 20:26 . 2009-08-17 20:27	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Notepad++
2009-08-17 20:26 . 2009-08-17 20:27	--------	d-----w-	c:\programme\Notepad++
2009-08-07 19:33 . 2009-08-07 19:33	--------	d-----w-	c:\programme\NuGardt Software

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-29 14:24 . 2008-01-12 19:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-29 14:05 . 2002-12-31 12:00	80754	----a-w-	c:\windows\system32\perfc007.dat
2009-08-29 14:05 . 2002-12-31 12:00	451374	----a-w-	c:\windows\system32\perfh007.dat
2009-08-29 14:03 . 2007-10-13 00:21	21416	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-29 13:39 . 2009-08-29 13:39	--------	d-----w-	c:\programme\MSXML 4.0
2009-08-28 23:09 . 2007-10-14 14:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Extensis
2009-08-28 17:51 . 2007-10-13 20:25	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-08-27 00:43 . 2008-01-16 15:28	16	----a-w-	c:\windows\msocreg32.dat
2009-08-20 22:58 . 2008-03-04 15:01	--------	d-----w-	c:\programme\Mozilla Thunderbird
2009-08-10 22:47 . 2008-03-29 23:54	66872	----a-w-	c:\windows\system32\PnkBstrA.exe
2009-08-10 22:47 . 2008-03-29 23:42	--------	d-----w-	c:\programme\Quake III Arena
2009-08-05 09:05 . 2002-12-31 12:00	206336	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-29 04:48 . 2002-12-31 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-07-29 04:48 . 2002-12-31 12:00	82432	----a-w-	c:\windows\system32\fontsub.dll
2009-07-19 20:51 . 2009-07-19 20:51	--------	d-----w-	c:\programme\Activision
2009-07-17 18:56 . 2002-12-31 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 00:18 . 2002-12-31 12:00	233472	----a-w-	c:\windows\system32\wmpdxm.dll
2009-06-26 16:17 . 2002-12-31 12:00	665088	----a-w-	c:\windows\system32\wininet.dll
2009-06-26 16:16 . 2002-12-31 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2009-06-25 18:34 . 2002-12-31 12:00	95744	----a-w-	c:\windows\system32\mqsec.dll
2009-06-25 18:34 . 2002-12-31 12:00	661504	----a-w-	c:\windows\system32\mqqm.dll
2009-06-25 18:34 . 2002-12-31 12:00	533504	----a-w-	c:\windows\system32\mqutil.dll
2009-06-25 18:34 . 2002-12-31 12:00	517120	----a-w-	c:\windows\system32\mqsnap.dll
2009-06-25 18:34 . 2002-12-31 12:00	48640	----a-w-	c:\windows\system32\mqupgrd.dll
2009-06-25 18:34 . 2002-12-31 12:00	47104	----a-w-	c:\windows\system32\mqdscli.dll
2009-06-25 18:34 . 2002-12-31 12:00	225280	----a-w-	c:\windows\system32\mqoa.dll
2009-06-25 18:34 . 2002-12-31 12:00	186880	----a-w-	c:\windows\system32\mqtrig.dll
2009-06-25 18:34 . 2002-12-31 12:00	177152	----a-w-	c:\windows\system32\mqrt.dll
2009-06-25 18:34 . 2002-12-31 12:00	16896	----a-w-	c:\windows\system32\mqise.dll
2009-06-25 18:34 . 2002-12-31 12:00	138240	----a-w-	c:\windows\system32\mqad.dll
2009-06-25 18:34 . 2002-12-31 12:00	123392	----a-w-	c:\windows\system32\mqrtdep.dll
2009-06-22 11:49 . 2002-12-31 12:00	19968	----a-w-	c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2002-12-31 12:00	117248	----a-w-	c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2002-12-31 12:00	4608	----a-w-	c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2002-12-31 12:00	91776	----a-w-	c:\windows\system32\drivers\mqac.sys
2009-06-15 11:32 . 2002-12-31 12:00	78848	----a-w-	c:\windows\system32\telnet.exe
2009-06-15 11:31 . 2002-12-31 12:00	82944	----a-w-	c:\windows\system32\tlntsess.exe
2009-06-10 14:22 . 2002-12-31 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2002-12-31 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
2009-06-05 07:42 . 2007-10-12 23:02	655872	----a-w-	c:\windows\system32\mstscax.dll
2009-06-03 19:26 . 2002-12-31 12:00	1296384	----a-w-	c:\windows\system32\quartz.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-04 81920]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"JMB36X Configure"="c:\windows\system32\JMRaidSetup.exe" [2006-10-30 1953792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-10-04 1626112]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-11-14 16270848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2002-12-31 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi2"=EMGA8U2K.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Suitcase 11.0.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Suitcase 11.0.lnk
backup=c:\windows\pss\Suitcase 11.0.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PnkBstrA"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Extensis\\Extensis Suitcase 11\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"=
"c:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"c:\\Programme\\Autodesk\\Backburner\\server.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Quake III Arena\\quake3.exe"=
"c:\\Programme\\The All-Seeing Eye\\eye.exe"=
"c:\\Programme\\Teamspeak2_RC2\\TeamSpeak.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"=
"f:\\incoming\\eMule0.49c\\emule.exe"=
"c:\\Programme\\ircN\\system\\mirc.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\bin\\java.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8767:UDP"= 8767:UDP:Teamspeak
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [12.03.2008 11:55 11264]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
S2 EMGA8U2K;emagic AMT8 configuration node (USB);c:\windows\system32\drivers\EMGA8U2K.sys [16.01.2008 13:11 12532]
S2 EmgicUsb;emagic USB kernel driver;c:\windows\system32\drivers\EMGICUSB.sys [16.01.2008 13:11 19076]
S3 PciCon;PciCon;\??\i:\pcicon.sys --> i:\PciCon.sys [?]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-WgaLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: &NeoTrace It! - c:\progra~1\NEOTRA~1\NTXcontext.htm
IE: Convert link target to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {8038D0C3-1986-4A4A-8D2C-5D45CFA5F8DD} = 213.191.74.19,213.191.74.18
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\u2yuna9b.default\
FF - plugin: c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-31 22:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\kbiwkmxevsyfdi]
"imagepath"="\systemroot\system32\drivers\kbiwkmfdnospiq.sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-329068152-2052111302-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:06,07,36,07,3c,1e,1b,05,4e,a3,5d,e5,d5,49,fd,b1,4f,f2,95,6a,9a,0a,29,
   e2,3e,fc,17,92,b6,e0,99,92,c9,e1,ce,82,7d,7b,81,d0,1f,c1,57,84,57,99,b9,3e,\
"??"=hex:1e,a5,4f,02,85,16,43,8d,f1,eb,ba,85,2a,19,e3,33

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\kbiwkmxevsyfdi]
@DACL=(02 0000)
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=expand:"\\systemroot\\system32\\drivers\\kbiwkmfdnospiq.sys"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
c:\programme\Extensis\Extensis Suitcase 11\Bonjour\mDNSResponder.exe
c:\programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\progra~1\MICROS~3\rapimgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-31 22:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-08-31 20:25

Vor Suchlauf: 8 Verzeichnis(se), 36.204.634.112 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 36.011.745.280 Bytes frei

234	--- E O F ---	2009-08-30 22:02
         

Antwort

Themen zu Nach PC-Absturz Trojaner msa.exe und weitere entdeckt
.dll, bluescree, browser, c.exe, dateien, disabled.securitycenter, einstellungen, explorer, forum, helper, infizierte, infizierte dateien, log, löschen, löschen?, malware.trace, malwarebytes, malwarebytes' anti-malware, microsoft, net.net, neustart, programme, prozess, registrierungsschlüssel, registry, registry key, security, software, system, system32, taskmanager, temp, trojan.agent, trojan.downloader, trojan.tdss, trojaner, win xp




Ähnliche Themen: Nach PC-Absturz Trojaner msa.exe und weitere entdeckt


  1. Spionage-Trojaner Regin: Symantec entdeckt 49 weitere Module
    Nachrichten - 30.08.2015 (0)
  2. PC-Absturz nach Spielstart
    Alles rund um Windows - 14.06.2015 (5)
  3. 22 Trojaner oder Viren nach Avira-Scan entdeckt
    Plagegeister aller Art und deren Bekämpfung - 12.09.2014 (17)
  4. Diverse Trojaner nach missflückter FireFox-Öffnung entdeckt
    Log-Analyse und Auswertung - 10.08.2014 (7)
  5. anyprotect, fortunitas, linkury entdeckt! Weitere Maßnahmen?
    Plagegeister aller Art und deren Bekämpfung - 24.04.2014 (12)
  6. GVU Trojaner; weitere Schritte nach Systemwiederherstellung
    Plagegeister aller Art und deren Bekämpfung - 26.06.2013 (13)
  7. Bundespolizei Trojaner - Weitere Schritte nach Systemwiederherstellung
    Log-Analyse und Auswertung - 04.06.2013 (18)
  8. Trojan.Ransom nach Entfernung von GVU-Trojaner über Malwarebyte entdeckt
    Plagegeister aller Art und deren Bekämpfung - 28.10.2012 (12)
  9. Forscher entdeckt weitere Java-Lücke
    Nachrichten - 26.09.2012 (0)
  10. BKA Trojaner eingefangen und nach Absturz 'Operating System not found'
    Log-Analyse und Auswertung - 13.07.2012 (7)
  11. Vorgehensweise nach Entfernung von BKA Trojaner Clone + weitere Fragen
    Plagegeister aller Art und deren Bekämpfung - 03.05.2012 (21)
  12. "Aus Sicherheitsgründen..."-Trojaner, nach erfolgreichem Virenscann weitere Gefährdung?
    Plagegeister aller Art und deren Bekämpfung - 25.02.2012 (3)
  13. weitere Trojaner nach BKA Ukash
    Log-Analyse und Auswertung - 17.12.2011 (8)
  14. BKA Trojaner - weitere Vorgehensweise nach txt
    Log-Analyse und Auswertung - 20.07.2011 (1)
  15. Prunnet.exe und weitere Viren entdeckt. HiJackThis Log-Auswertung bitte.
    Log-Analyse und Auswertung - 12.01.2009 (0)
  16. Absturz nach dem booten und ...
    Log-Analyse und Auswertung - 25.10.2007 (2)
  17. Nach Programmöffnung Absturz !!!!
    Plagegeister aller Art und deren Bekämpfung - 07.04.2005 (5)

Zum Thema Nach PC-Absturz Trojaner msa.exe und weitere entdeckt - Im Systemtray erleuchtete soeben das Shield-Icon vom Sicherheitscenter und meldete kurz etwas davon, dass mein PC angegriffen wird. Noch bevor ich das Netzwerkkabel ziehen konnte, verabschiedete sich mein Win XP - Nach PC-Absturz Trojaner msa.exe und weitere entdeckt...
Archiv
Du betrachtest: Nach PC-Absturz Trojaner msa.exe und weitere entdeckt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.