Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)
Guten Abend,
nachdem ich gestern etwas unbedacht eine Datei geöffnet habe, welche ich nicht hätte öffnen sollen haben sich einige Störenfriede bei mir eingenistet, die mich gerade ein wenig verzweifeln lassen.
Ich habe das System seit gestern mit Spybot S&D, Avira AntiVir, Malwarebytes AM und HiJackThis gescannt und auch einige Funde gehabt und versucht diesen entgegenzuwirken.
Problem war nur nach dem letzten Anti Malware Scan, wo ich alle acht Funde umgehend gelöscht habe, mein System nicht mehr hochfuhr und während des bootens mit einem Bluescreen quittierte.
Habe einen Wiederherstellungspunkt wiederhergestellt, wodurch natürlich auch einige meiner Gegenmaßnahmen rückgängig gemacht wurden.
Aktuell bin ich also wieder erneut am scannen, weiß aber nicht was ich nun machen soll, da ich ohne weiteres die Dateien also wohl nicht löschen kann.
Vor dem Anti Malware Scan war ich mir recht sicher, das mein System fast sauber ist. Ich hatte nur einen Eintrag im Autostart Bereich der Registry, welcher sich nach dem Löschen direkt wieder neu eintrug. Es ging um die "jusched.exe" (Habe gar kein Java installiert), welche aber in meinem Userverzeichnis lag und welche ich auch löschen konnte. Nur den Registryeintrag nicht und das obwohl im Hintergrund keine verdächtigen Programme liefen. Da wusste ich nicht mehr weiter.
Ich wäre demnach sehr dankbar, wenn man mir Tipps zur weiteren Vorgehensweise geben könnte.
Sollte ich was vergessen haben oder noch Informationen benötigt werden, bitte Bescheid geben.
Anbei füge ich noch Logs von Anti Malware, HiJackThis und in den Anhang von OTL ein, da RSIT unter Windows 7 nicht zu funktionieren scheint. Letzterer Log ist auf Grund der Dateigrößenbeschränkungen für Anhänge zweigeteilt.
HiJackThis Log: Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30:13, on 25.10.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
D:\system\TuneUp Utilities 2010 Beta\TuneUpUtilitiesApp32.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\Dwm.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\system\Avira\AntiVir Desktop\avgnt.exe
D:\internet\ICQ6.5\ICQ.exe
C:\Windows\system32\svchost.exe
D:\system\TuneUp Utilities 2010 Beta\TUBackgroundAnalyzer.exe
C:\Windows\system32\wuauclt.exe
d:\system\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Opera\opera.exe
C:\Windows\explorer.exe
D:\internet\µTorrent\utorrent-1.8.exe
D:\system\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "D:\system\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] d:\system\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ICQ] "D:\internet\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Java Quick Start] C:\Users\Sebastian\jusched.exe
O4 - HKCU\..\Run: [PopRock] C:\Users\SEBAST~1\AppData\Local\Temp\b.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Per Mitteilung versenden(&M) ... - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\IE\tssms.htm
O8 - Extra context menu item: Über Bluetooth senden - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\IE\tsinfo.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\tools\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\tools\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\tools\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\internet\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\internet\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E45FC9FF-022B-4B7D-B9A5-F5AAB776CC9C}: NameServer = 192.168.1.1
O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - (no file)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\system\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\system\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HDDlife HDD Access service - Unknown owner - C:\Program Files\Common Files\BinarySense\hldasvc.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NMSAccessU - Unknown owner - d:\tools\CDBurnerXP\NMSAccessU.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\Windows\system32\pr2ah4nc.exe
O23 - Service: @D:\system\TuneUp Utilities 2010 Beta\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - D:\system\TuneUp Utilities 2010 Beta\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - D:\system\TuneUp Utilities 2010 Beta\TuneUpUtilitiesService32.exe
O23 - Service: SAMSUNG WiselinkPro Service (WiselinkPro) - Unknown owner - C:\Program Files\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe
--
End of file - 6038 bytes
AM Log: Code:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3030
Windows 6.1.7600
25.10.2009 18:46:08
mbam-log-2009-10-25 (18-46-03).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 179112
Laufzeit: 44 minute(s), 11 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7
Infizierte Speicherprozesse:
C:\Windows\msa.exe (Trojan.Agent) -> No action taken.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings\tm (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\java quick start (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock (Trojan.Downloader) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Users\Mustermann\AppData\Local\Temp\8353.tmp (Rootkit.TDSS) -> No action taken.
C:\Users\Mustermann\jusched.exe (Trojan.Downloader) -> No action taken.
C:\Windows\msa.exe (Trojan.Agent) -> No action taken.
C:\Windows\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.
C:\Users\Mustermann\AppData\Local\Temp\b.exe (Trojan.Downloader) -> No action taken.
C:\Users\Mustermann\AppData\Local\Temp\msxml71.dll (Trojan.FakeAlert) -> No action taken.
| 