Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
MSA.exe

MSA.exe


Plagegeister aller Art und deren Bekämpfung: MSA.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.09.2009, 01:20   #1
M_Key
 
MSA.exe - Standard

MSA.exe


Hallo Miteinander.

Ich habe folgendes Problem.

Ich habe die MSA.exe auf meinem Rechner. Durch googlen hab ich herausgefunden das es sich hierbei um ein angebliches Programm von Microsoft handelt.

Das hat sich installiert als ich mal eine falsche Datei heruntergeladen habe, mir Avira Antivir in dem Moment gesagt hat das es ein Trojaner ist und ich es trotzdem geschafft habe auf den falschen Knopf zur bestätigung der Installation zu kommen.

Jetzt habe ich ein Problem, denn ich weiß nicht wie ich das löschen kann.

Nach vielem Gesuche über Google hab ich gesehen das man es angeblich mit Spyhunter 3 aufspüren kann und dann entfernt. Ich glaub ich bin zu dumm dafür, weil ich das nicht schaffe....HEUL^^

Dank Spyhunter habe ich aber auch herausgefunden das dieses MSA wohl nicht nur mein einziges Problem ist sondern ich in der Registry noch 20 Einträge habe und 51 gefährliche Cookies abgespeichert sind. Ich weiß da aber auch nicht wo ich diese weder finden noch entfernen kann.

Ich habe schon oft hier irgendwas von diesem Hijack This gelesen....Sry aber ich kenne das Programm nicht.

Deswegen verzwifel ich hier auch mal ganz schnell und weiß einfach nicht mehr weiter....Wer mag mir helfen, weil formatieren will ich nicht wenn nicht nötig....Danke im Vorraus.

Ach ja, hab noch 3 weitere Probleme. Ich komme nicht mehr ins Internet vom Rechner aus, es öffnen sich ständig Popups über IE obwohl ich Firefox benutze und Avira sagt mir immer wieder das die Datei reset5c.dll ein Trojan ist den ich nicht löschen kann aus unerklärlichen Gründen....


HILFE!!!!

Alt 19.09.2009, 01:29   #2
Acid303
 
MSA.exe - Standard

MSA.exe


Hallo M_Kay



Bitte zuerst einmal hier entlang http://www.trojaner-board.de/69886-a...-beachten.html und den Punkt 2 abarbeiten.

Gruß

Acid
__________________
Alt 19.09.2009, 11:41   #3
M_Key
 
MSA.exe - Standard

MSA.exe


Sorry. Hier der Malwarebytesbericht

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2822
Windows 5.1.2600 Service Pack 2

19.09.2009 12:35:58
mbam-log-2009-09-19 (12-35-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 251664
Laufzeit: 8 hour(s), 35 minute(s), 5 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 18
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicherprozesse:
D:\WINDOWS\msa.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
D:\WINDOWS\system32\reset5c.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e24211b3-a78a-c6a9-d317-70979ace5058} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\reset5c (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nordbull (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\WINDOWS\system32\iebho.dll (Trojan.BHO.H) -> Delete on reboot.
D:\WINDOWS\msa.exe (Trojan.Agent) -> Delete on reboot.
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\c.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\a.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\a.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\c.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{5EB5FF6B-252B-49DF-9085-8E530FE758F9}\RP286\A0029710.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{5EB5FF6B-252B-49DF-9085-8E530FE758F9}\RP286\A0029711.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\HelpAssistant\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\reset5c.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\file.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
__________________
Alt 19.09.2009, 11:50   #4
M_Key
 
MSA.exe - Standard

MSA.exe


======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: XYZ-5B2E7C9F949
Event Code: 7036
Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Ausgeführt".

Record Number: 7952
Source Name: Service Control Manager
Time Written: 20090528223402.000000+120
Event Type: Informationen
User:

Computer Name: XYZ-5B2E7C9F949
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Google Software Updater" gesendet.

Record Number: 7951
Source Name: Service Control Manager
Time Written: 20090528223402.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: XYZ-5B2E7C9F949
Event Code: 10005
Message: Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "upnphost" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{204810B9-73B2-11D4-BF42-00B0D0118B56}

Record Number: 7950
Source Name: DCOM
Time Written: 20090528191054.000000+120
Event Type: Fehler
User: XYZ-5B2E7C9F949\Administrator

Computer Name: XYZ-5B2E7C9F949
Event Code: 7036
Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Beendet".

Record Number: 7949
Source Name: Service Control Manager
Time Written: 20090528182123.000000+120
Event Type: Informationen
User:

Computer Name: XYZ-5B2E7C9F949
Event Code: 35
Message: Der Zeitdienst synchronisiert die Systemzeit mit folgender
Zeitquelle: time.windows.com (ntp.m|0x1|192.168.178.20:123->207.46.232.182:123).

Record Number: 7948
Source Name: W32Time
Time Written: 20090528182058.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: XYZ-5B2E7C9F949
Event Code: 100
Message: wuauclt (2996) Das Datenbankmodul 5.01.2600.2180 ist gestartet.

Record Number: 1854
Source Name: ESENT
Time Written: 20081203191415.000000+060
Event Type: Informationen
User:

Computer Name: XYZ-5B2E7C9F949
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 1853
Source Name: Avira AntiVir
Time Written: 20081203191330.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: XYZ-5B2E7C9F949
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 1852
Source Name: SecurityCenter
Time Written: 20081203191327.000000+060
Event Type: Informationen
User:

Computer Name: XYZ-5B2E7C9F949
Event Code: 0
Message:
Record Number: 1851
Source Name: ICQ Service
Time Written: 20081203191321.000000+060
Event Type: Informationen
User:

Computer Name: XYZ-5B2E7C9F949
Event Code: 0
Message:
Record Number: 1850
Source Name: gusvc
Time Written: 20081203191321.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Samsung\Samsung PC Studio 3;D:\Programme
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 44 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=2c02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

Alt 19.09.2009, 11:54   #5
M_Key
 
MSA.exe - Standard

MSA.exe


Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2009-09-19 12:44:00
Microsoft Windows XP Professional Service Pack 2
System drive D: has 23 GB (41%) free of 57 GB
Total RAM: 703 MB (57% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:44:11, on 19.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\Java\jre6\bin\jusched.exe
D:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
D:\Programme\trend micro\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [PrinTray] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SpyHunter Security Suite] D:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: In 1&&1 SoftPhone wählen - D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O20 - AppInit_DLLs: D:\WINDOWS\system32\winuid.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Software Updater (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5443 bytes

======Scheduled tasks folder======

D:\WINDOWS\tasks\1-Click Maintenance.job
D:\WINDOWS\tasks\Google Software Updater.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=D:\WINDOWS\SOUNDMAN.EXE [2005-09-22 90112]
"NvCplDaemon"=D:\WINDOWS\system32\NvCpl.dll [2008-05-16 13529088]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=D:\WINDOWS\system32\NvMcTray.dll [2008-05-16 86016]
"NeroFilterCheck"=D:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"Lexmark X84-X85 Button Monitor"=C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe [2002-08-23 40960]
"PrinTray"=D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe [2002-09-18 36864]
"Adobe Reader Speed Launcher"=D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]
"avgnt"=D:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"SunJavaUpdateSched"=D:\Programme\Java\jre6\bin\jusched.exe [2009-07-25 149280]
"SpyHunter Security Suite"=D:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe [2009-04-02 868352]
" Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=D:\WINDOWS\system32\ctfmon.exe [2004-11-11 15360]
"DAEMON Tools Lite"=C:\Programme\DAEMON Tools Lite\daemon.exe [2008-08-08 490952]
"ICQ"=C:\Programme\ICQ6.5\ICQ.exe [2009-03-01 172792]

D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Microsoft Office.lnk - D:\Programme\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="D:\WINDOWS\system32\winuid.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\Programme\Mozilla Firefox\firefox.exe"="D:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Programme\Azureus\Azureus.exe"="C:\Programme\Azureus\Azureus.exe:*:Enabled:Azureus"
"C:\Programme\1&1\1&1 SoftPhone\IPPHONEUI.EXE"="C:\Programme\1&1\1&1 SoftPhone\IPPHONEUI.EXE:*:Enabled:1&1 SoftPhone"
"C:\Programme\TrackMania Nations ESWC\TmNationsESWC.exe"="C:\Programme\TrackMania Nations ESWC\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"C:\Programme\LimeWire\LimeWire.exe"="C:\Programme\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"D:\Programme\Electronic Arts\Alarmstufe Rot 3\Data\ra3_1.0.game"="D:\Programme\Electronic Arts\Alarmstufe Rot 3\Data\ra3_1.0.game:*:Enabled:Command & Conquer™ Red Alert™ 3"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"%windir%\system32\lsass.exe"="%windir%\system32\lsass.exe:*:Enabled:Local Security Authority Subsystem Service"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2100-02-16 16:09:06 ----A---- D:\WINDOWS\system32\LXBOUSCI.INI
2009-09-19 12:44:01 ----D---- D:\Programme\trend micro
2009-09-19 12:44:00 ----D---- D:\rsit
2009-09-19 03:40:58 ----D---- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-09-19 03:40:49 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-19 00:29:52 ----D---- D:\Programme\Enigma Software Group
2009-09-11 03:13:16 ----A---- D:\WINDOWS\system32\stu2.exe
2009-08-30 10:09:18 ----A---- D:\WINDOWS\system32\javaws.exe
2009-08-30 10:09:18 ----A---- D:\WINDOWS\system32\javaw.exe
2009-08-30 10:09:18 ----A---- D:\WINDOWS\system32\java.exe
2009-08-29 19:29:30 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap
2009-08-29 19:28:52 ----D---- D:\Programme\PopCap Games
2009-08-29 06:00:54 ----A---- D:\WINDOWS\system32\devil.dll
2009-08-29 06:00:54 ----A---- D:\WINDOWS\system32\avisynth.dll
2009-08-29 06:00:53 ----A---- D:\WINDOWS\system32\yv12vfw.dll
2009-08-29 06:00:53 ----A---- D:\WINDOWS\system32\i420vfw.dll
2009-08-29 06:00:53 ----A---- D:\WINDOWS\system32\AVSredirect.dll
2009-08-29 05:57:45 ----RSH---- D:\WINDOWS\system32\nbDX.dll
2009-08-29 05:57:44 ----RSH---- D:\WINDOWS\system32\msfDX.dll
2009-08-29 05:57:44 ----RSH---- D:\WINDOWS\system32\flvDX.dll
2009-08-28 20:27:20 ----D---- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cuttermaran
2009-08-27 22:30:09 ----D---- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\avidemux
2009-08-27 09:50:05 ----D---- D:\Sounds
2009-08-27 08:52:45 ----D---- D:\Programme\LG Electronics
2009-08-27 08:51:10 ----A---- D:\WINDOWS\system32\NMSDVDXU.dll
2009-08-27 08:50:56 ----D---- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LG Electronics
2009-08-27 08:50:18 ----D---- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield

======List of files/folders modified in the last 1 months======

2009-09-19 12:44:02 ----D---- D:\WINDOWS\Prefetch
2009-09-19 12:44:01 ----RD---- D:\Programme
2009-09-19 12:41:48 ----D---- D:\WINDOWS\system32\drivers
2009-09-19 12:40:54 ----D---- D:\WINDOWS\Temp
2009-09-19 12:39:37 ----D---- D:\WINDOWS\system32\CatRoot2
2009-09-19 12:39:16 ----SD---- D:\WINDOWS\Tasks
2009-09-19 12:38:52 ----D---- D:\WINDOWS
2009-09-19 12:38:47 ----D---- D:\WINDOWS\system32
2009-09-19 12:38:03 ----A---- D:\WINDOWS\SchedLgU.Txt
2009-09-19 03:25:34 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-19 00:39:48 ----D---- D:\Programme\Mozilla Firefox
2009-09-18 22:51:14 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2009-09-18 21:14:31 ----A---- D:\WINDOWS\system32\userinit.exe
2009-09-17 22:03:08 ----SHD---- D:\WINDOWS\Installer
2009-09-15 21:17:33 ----D---- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
2009-09-14 07:56:50 ----D---- D:\WINDOWS\Minidump
2009-09-14 07:51:52 ----D---- D:\Dokumente und Einstellungen
2009-08-31 17:12:12 ----D---- D:\Programme\PokerStars
2009-08-30 10:09:10 ----D---- D:\Programme\Java
2009-08-29 06:00:50 ----D---- D:\Program Files
2009-08-29 06:00:47 ----RSD---- D:\WINDOWS\Fonts
2009-08-28 21:50:29 ----A---- D:\WINDOWS\NeroDigital.ini
2009-08-28 20:28:33 ----SD---- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
2009-08-27 09:13:50 ----HD---- D:\WINDOWS\inf
2009-08-27 08:52:45 ----HD---- D:\Programme\InstallShield Installation Information

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD-Prozessortreiber; D:\WINDOWS\system32\DRIVERS\AmdK8.sys [2005-03-09 43008]
R1 avgio;avgio; \??\D:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; D:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; D:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R1 StarOpen;StarOpen; D:\WINDOWS\system32\drivers\StarOpen.sys [2008-07-31 5632]
R2 avgntflt;avgntflt; D:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-05 55656]
R2 irda;IrDA-Protokoll; D:\WINDOWS\system32\DRIVERS\irda.sys [2004-08-04 87424]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); D:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-09-22 3727680]
R3 irsir;Microsoft serieller Infrarottreiber; D:\WINDOWS\system32\DRIVERS\irsir.sys [2001-08-17 18688]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; D:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 nv;nv; D:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-05-16 6557408]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; D:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-07-29 34048]
R3 nvnetbus;NVIDIA Network Bus Enumerator; D:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-07-29 12928]
R3 Rasirda;WAN-Miniport (IrDA); D:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; D:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-11-11 26624]
R3 usbhub;USB2-aktivierter Hub; D:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-11-11 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; D:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-11-11 17024]
R3 USBSTOR;USB-Massenspeichertreiber; D:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S1 wceusbsh;Serieller Hosttreiber für Windows CE USB; D:\WINDOWS\system32\DRIVERS\wceusbsh.sys [2004-08-04 32000]
S2 Tdlpt;Tdlpt; \??\D:\WINDOWS\system32\drivers\Tdlpt.sys []
S3 as8s9szx;as8s9szx; D:\WINDOWS\system32\drivers\as8s9szx.sys []
S3 HidUsb;Microsoft HID Class-Treiber; D:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM); D:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 58320]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter; D:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 8304]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers; D:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 94000]
S3 usbbus;LGE Mobile Composite USB Device; D:\WINDOWS\system32\DRIVERS\lgusbbus.sys [2008-11-11 13056]
S3 UsbDiag;LGE Mobile USB Serial Port; D:\WINDOWS\system32\DRIVERS\lgusbdiag.sys [2008-11-11 19968]
S3 USBModem;LGE Mobile USB Modem; D:\WINDOWS\system32\DRIVERS\lgusbmodem.sys [2008-11-11 24832]
S3 usbscan;USB-Scannertreiber; D:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; D:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; D:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; D:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; D:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; D:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Irmon;Infrarotüberwachung; D:\WINDOWS\system32\svchost.exe [2004-11-11 14336]
R2 JavaQuickStarterService;Java Quick Starter; D:\Programme\Java\jre6\bin\jqs.exe [2009-07-25 153376]
R2 MDM;Machine Debug Manager; D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336]
R2 NVSvc;NVIDIA Display Driver Service; D:\WINDOWS\system32\nvsvc32.exe [2008-05-16 159812]
R2 UxTuneUp;TuneUp Designerweiterung; D:\WINDOWS\System32\svchost.exe [2004-11-11 14336]
S2 gusvc;Google Software Updater; D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 183280]
S3 aspnet_state;ASP.NET State Service; D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; D:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864]
S3 IDriverT;InstallDriver Table Manager; D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; D:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256]
S3 usprserv;User Privilege Service; D:\WINDOWS\System32\svchost.exe [2004-11-11 14336]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; D:\Programme\Windows Media Player\WMPNetwk.exe [2006-10-24 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; D:\WINDOWS\system32\svchost.exe [2004-11-11 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; D:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880]

-----------------EOF-----------------


Alt 22.09.2009, 11:34   #6
Acid303
 
MSA.exe - Standard

MSA.exe


Hallo M_Kay

Der Internetexplorer müsste mal auf Version 8.0 geupdatet werden auch wenn du ihn nicht zum Surfen benutzt. Windows greift öfter auf dei Kernkomponenten vom IE zu. Auch den Adobe Reader solltest du auf Version 9 updaten. Außerdem fehlt dir für dein XP noch das Service Pack 3 welches auch noch installiert werden muss. Was mir aber ersteinmal mehr Sorgen macht ist

Code:
ATTFilter
D:\WINDOWS\system32\winuid.dll
Bitte lade die Datei einmal bei VirusTotal - Kostenloser online Viren- und Malwarescanner hoch und lasse sie überprüfen. Poste das Ergebnis dann bitte hier.

Gruß

Acid

Alt 22.09.2009, 21:25   #7
M_Key
 
MSA.exe - Standard

MSA.exe


Hi. Bin gerade dabei per Laptop die erforderlichen Dateien zu laden damit ich diese auf dem PC updaten kann.

Wie soll ich die von dir vorgeschlagene Datei hochladen wenn ich keinen Zugriff auf das Internet hab?

Ich weiß ja nicht ob das eventuell nachher wieder der Fall ist wenn ich den IE installiert habe, aber geschrieben habe ich ja das ich nicht mehr auf das Internet zugreifen kann. Nur vom Laptop aus dank Heimnetzwerk.

Alt 22.09.2009, 23:08   #8
Acid303
 
MSA.exe - Standard

MSA.exe


Ahh sorry! Da hatte ich nicht dran gedacht daß du mit dem Rechner nicht ins Netz kommst. Kopiere aber jetzt bitte KEINE Dateien von deinem Rechner auf den Laptop.

Schaue einmal hier http://www.trojaner-board.de/59299-a...eb-cureit.html

Lade dir das Programm herunter, kopiere es auf deinen Rechner und folge dann der Anleitung.

Gruß

Acid

Alt 22.09.2009, 23:25   #9
M_Key
 
MSA.exe - Standard

MSA.exe


jo, werd ich machen und Heute Abend poste ich die Ergebnisse.

Danke nochmal.

Ps.: So blöd bin ich natürlich nicht die Datei zu überspielen

Alt 24.09.2009, 20:32   #10
M_Key
 
MSA.exe - Standard

MSA.exe


Guten Abend. Habe das ServicePack3 installiert genauso wie den Acrobat Reader.

Internetexplorer konnte ich leider nicht installieren weil mein System mir sagt das die 8.0 Version nicht kompatibel mit meinem XP ist.

Dr Web im schnellscan ausgeführt, wurden fehler entfernt, allerdings mit einem Neustart verbunden.

Danach im "nicht abgesicherten Modus" nach diesem Neustart den Komplettscan durchgeführt, weil der Rechner ja automatisch neu gestartet hat und nichts davon in der Anleitung stand das ich für den Komplettscan den abgesicherten Modus benötige.

Während des Scans wurden mehrere befallene Dateien von Avira Antivir entdeckt die ich schön brav in Quarantäne verschoben habe.

Es wurde kein Virus gefunden.

Ende vom Lied: Ich kann kein Protokoll erstellen, wahrscheinlich aufgrund der 0 Funde.

Ich kann auch weiterhin nicht ins Internet.

Was nun?

An dieser Stelle wieder einmal ein DANKE für die bisherige Hilfe. Auch wenn der Prozess langwierig ist mit Bereinigung etc finde ich es super das Ihr mir helft!!!

Alt 25.09.2009, 14:36   #11
Acid303
 
MSA.exe - Standard

MSA.exe


Bitte mache den Komplett Scan nocheinmal im Abgesicherten Modus.

Gruß

Acid

Antwort

Themen zu MSA.exe
antivir, avira, avira antivir, datei, entfernen, falsche, firefox, folge, formatieren, google, hijack, hijack this, immer wieder, installation, internet, löschen, microsoft, nicht löschen, nicht mehr, popups, programm, registry, reset, this, trojaner, öffnen


« Trojaner nach mündlicher Ankündigung? | HTML/Infected.WebPage.Gen »


Zum Thema MSA.exe - Hallo Miteinander. Ich habe folgendes Problem. Ich habe die MSA.exe auf meinem Rechner. Durch googlen hab ich herausgefunden das es sich hierbei um ein angebliches Programm von Microsoft handelt. Das - MSA.exe...
Archiv
Du betrachtest: MSA.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131