malware defense

dBenj

Hallo!

Ich hab mir wscsvc32.exe zugezogen (habe Windows XP).
Avira hat ihn nicht gleich erkannt (5.1. mittags), als die Pseudo-Sicherheitscenter-Fenster kamen hab' ich (allerdings auch nicht sofort) die Verbindung zum Internet gekappt, externe Festplatte und mp3-Player ausgestöpselt und Avira scannen lassen.
Ich war und bin auch jetzt nicht als Admin angemeldet.
Ergebnis war der wscsvc32.exe (als nicht lesbar, aber nicht erkannt); manuelles in-Quarantäne-setzen über Avira hat nichts gebracht, er war ja schon aktiv.
Ich hab' (vllt dummerweise) neu gebootet.
Am Nachmittag hab' ich dann doch nochmal Verbindung zum Internet hergestellt, Avira geupdated, seitdem wird er erkannt.
Ich hatte kurz den Namen (wscsvc) gegooglet und bin hier gelandet, habe daraufhin HijackThis geladen (Immer noch: Nicht als Admin. Vielleicht verfälscht das ja was.); raus kam dabei das hier:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:37, on 5.1.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\DOKUME~1\***\LOKALE~1\Temp\settdebugx.exe
C:\DOKUME~1\***\LOKALE~1\Temp\wscsvc32.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\***\LOKALE~1\Temp\settdebugx.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6187 bytes





Ich hatte seitdem keine Zeit mich damit auseinanderzusetzen, d.h. der PC war von da an aus.
Direkt nach dem Booten heute hat Avira 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\wscsvc32.exe' blockiert und ist seitdem auf 'Zugriff verweigern', 4 mal die Minute passiert das (will irgendwas auf wscsvc32.exe zugreifen.)
Ich habe im Moment keine Pseudo-SecurityCenter-Meldungen.

Den Inhalt von 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp' hatte ich nach dem Avira-Scan gelöscht, bis auf
wscsvc.exe (ließ sich natürlich nicht löschen),
settdebugx.exe(ließ sich ebenfalls nicht löschen)
und einen der beiden Ordner
hsperfdata_user und WPDNSE (einer ließ sich nicht löschen, ich weiß leider nicht mehr welcher; der andere wurde seitdem erstellt, beide scheinen leer).

Außerdem befinden sich dort drei Porno-Icons namens 1.ico, 2.ico und 3.ico, die seitdem erstellt wurden, und
jusched.log mit dem Inhalt:


Tue Jan 05 19:15:44 2010
:: **************** Running jusched ****************

Tue Jan 05 19:15:44 2010
:: Either not a Win2000, XP platform or Non-admin user or GetModuleFilename failed or Error Opening JavaUpdate Keys.

Thu Jan 07 13:29:38 2010
:: **************** Running jusched ****************

Thu Jan 07 13:29:39 2010
:: Either not a Win2000, XP platform or Non-admin user or GetModuleFilename failed or Error Opening JavaUpdate Keys.




Soweit ich das verstehe, muss ich letztlich ohnehin formatieren und Betriebssystem etc etc neu aufspielen, wenn ich den Pc wieder regulär benutzen will, dh eben auch zB onlinebanking?
Sicher, das wäre beträchtlicher Aufwand, aber vielleicht tät' das der Geschwindigkeit ganz gut... und dreieinhalb Jahre am Stück ohne ist ganz ok ;)
Spricht etwas dagegen, eine externe Festplatte anzuschließen (nicht die die schon dranhing als ich den Befall bemerkt habe, da ist nicht genug Platz), Daten die wichtig sind (oofficedateien, pdf, Bilder, Musik, Thunderbird-Postfach, Thunderbird-Adressbuch, Mozilla-Lesezeichen) draufzuziehen, das dann zu tun, und die Externe nach dem Neuaufspielen erstmal zu scannen?
Und reicht einfaches Formatieren mit format c: im dos-modus oder müsste ich etwas darüber hinaus tun?


Ich lese gerade von MAM, RSIT und GMER - ich kann die natürlich auch noch drüberlaufen lassen, aber
1. Ist das sinnvoll wenn ich vermutlich formatieren will/sollte (wie war das? never trust a system that has been compromised before?)
2. Muss ich dazu in den Admin-Modus? Bei CC und MAM ,zum Installieren oder so? Ich habe den Eindruck, die eingeschränkten Rechte haben mir einige Scherereien erspart. Und, wenn das alles sinnvoll ist - sollte ich vielleicht auch HijackThis nochmal als Admin ausführen?

Ich mach' das, wie gesagt, trotzdem gern, wenn mir jemand kurz rückmeldet dass das sinnvoll ist.
Vielen Dank im Voraus für Hilfe.