Hallo zusammen,
ich musste gestern mit Entsetzen feststellen, dass ich mir Viren/Trojaner eingefangen hab was bei mir sehr selten vorkommt da ich mein AV-Programm + Windows immer auf dem neuesten Stand hab und zusätzlich die XP-Firewall immer an ist.

Seltsamerweise bekam ich die Plagegeister kurz nachdem ich auf IE7 aktuallisiert hatte.

ich bitte euch mein logfile anzugucken und mir Feedback zu geben ob ich den stundenlangen kampf gegen die Viren/Trojaner gewonnen habe oder ob eine Neuaufsetzung des BS angebracht wäre...


Logfile of HijackThis v1.99.1
Scan saved at 17:38:32, on 05.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Creative\Audio\PROGRAM\CTMIX32.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Nico\Eigene Dateien\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.t-offline.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1136E212-04BD-4F0E-8B8B-AC5EBDFA3F53} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{44C76944-B8AA-4628-A6B6-C
B74ABBDB04A}: NameServer = 217.237.150.115 217.237.149.142
O17 - HKLM\System\CS2\Services\Tcpip\..\{44C76944-B8AA-4628-A6B6-C
B74ABBDB04A}: NameServer = 217.237.150.115 217.237.149.142
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (P) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


Gruß Nico

Hallo!

Also im Logfile sind ein paar Sachen die ich fixen würde.

Zitat:

O2 - BHO: (no name) - {1136E212-04BD-4F0E-8B8B-AC5EBDFA3F53} - (no file)

O2 - BHO: (no name) - {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50} - (no file)

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)

lg

kann mir einer einen Tipp geben wie ich diese n Eintrag wegkriege:

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)


Die beiden anderen konnte ich in ohne Probleme in der Registry beseitigen...


Gruss Nico

mOIn auch

du hast dir einen Backdoortrojaner (IRC-BOT) eingefangen und das kann er (Quelle ist PrevX ) :
ACTIVITY ANALYSIS OF: MSASVC.EXE

* The following behaviors have been observed for this object:
* Installs programs.
* Deletes programs.
* Invokes dll components.
* Runs other programs.
* Communicates with web sites using httpout protocols.
* Communicates with other computers across the web.
* Has outbound communications.
* Creates known malware.
hier nochmal zum selbst nachlesen -> http://fileinfo.prevx.com/adware/qqc6f641158518-MSAS22915957/MSASVC.EXE.html

Zitat:

ich bitte euch mein logfile anzugucken und mir Feedback zu geben ob ich den stundenlangen kampf gegen die Viren/Trojaner gewonnen habe oder ob eine Neuaufsetzung des BS angebracht wäre...

ja, mein Rat nehme deinen Rechner vom Netz und setze ihn nach dieser Anleitung neu auf.
Ändere auch sicherheitshalber alle deine Passwörter nach der Neuinstallation.

MFG

Hallo nochmal,
ist eigentlich eine "neu patitionierung der Platte" zwigend notwendig nach einem Viren/Trojaner-Befall ? Reicht also Format c: nicht aus ?

Wenn ich meine 1. Platte wo XP drauf war neu partitioniere, hat das eine Auswirkung auf meine 2. BackUp-Platte ?

ich dachte ich frag sicherheitshalber nochmal nach bevor ich Mist bau und all meine Dateien verliere.


Gruss Nico

Hi,

Normalerweise reicht eine einfache Formatierung
der Systemfestplatte. Jedoch hast du dir
hoffentlich durchgelesen, was dieser Backdoor
(oben erklärt) anrichtet.
Folgend wäre ich mir da nicht sicher, ob Dateien,
die später genutzt werden könnten, auch auf deiner
Datenfestplatte (Backup) liegen. Zusätzlich solltest
du sowieso alle Passwörter (wie von nochdigger erklärt)
und ähnliches ändern.
Empfehlung: Speichere das wichtigste deiner Daten EXTERN
ab und achte dabei darauf, dass du nur dateien rüber lädst,
die du kennst. Anschließend partitioniere deine Festplatten.
Das ganze soll natürlich abgetrennt vom Netz geschehen.

mfg Cleriker

alles klar, danke