Trojaner-Board - mscsvc32.exe befallen von Worm

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - mscsvc32.exe befallen von Worm_VB.L (https://www.trojaner-board.de/9337-mscsvc32-exe-befallen-worm_vb-l.html)

mscsvc32.exe befallen von Worm_VB.L

Hallo,

habe folgendes Problem bei mir ist eine Datei mscsvc32.exe (befindet sich in windows/system32) vom Wurm VB.L befallen. Habe mir gedacht, ich lasse mir einfach die Datei von nem Kumpel schicken und überschreibe die aber leider hat die keiner.
Da die keiner hat, habe cih die dann einfach mal gelöscht, aber dann konnte ich keine .exe Programme mehr öffnen.

Weis einer eine Lösung für das Problem, oder kann mir wenigstens einer sagen wofür die Datei gut ist?

Logfile of HijackThis v1.98.2
Scan saved at 16:33:57, on 08.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\mscsvc32.exe
C:\Programme\Opera7\Opera.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\Explorer.EXE
C:\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB002" /M "Stylus C64"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [mscsvc32] C:\WINDOWS\system32\MSCSVC32.exe
O4 - HKLM\..\RunOnce: [mscsvc32] C:\WINDOWS\system32\MSCSVC32.exe /RunOnce
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro 4\AdBlocker.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab
O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://www.thepaymentcentre3.com/build/preload.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/ado...ere/index.html
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binarie...1019_EN_XP.cab
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binarie...EGDHTML_XP.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binarie...hv32_EN_XP.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14962046...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094744486343
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab

Die Beschreibung ist mir nicht ganz geheuer.
Bitte führe mal einen eScan im abgesicherten Modus bei deaktivierter Systemwiederherstellung durch und poste das Ergebnis. Bitte beachte, daß die neue eScan Version keine Malware löscht, das mußt Du selbst manuell tun.
Dein HJT Logfile hat einiges aufzuweisen, darum kümmern wir uns nach dem eScan.
Lade Dir vorher noch AdAware SE runter und laß es laufen. Poste Deine Ergebnisse mit neuem HJT-Logfile hier rein.
cacatoa

So, habe das jetzt mal gemacht. Dieser komische Wurm ist aber immer noch nicht weg, und löschen kann ich den ja leider auch nicht so einfach, da dann nichts mehr funktioniert.
Dank eScan weis ich jetzt das der Wurm Worm.Win32.VB.l heisst, konnte dazu aber leider auch nichts finden.

Escan sagt folgendes:
File C:\WINDOWS\system32\MSCSVC32.exe infected by "Worm.Win32.VB.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\MSCSVC32.exe infected by "Worm.Win32.VB.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\MSCSVC32.exe infected by "Worm.Win32.VB.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\MSCSVC32.exe infected by "Worm.Win32.VB.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\MSCSVC32.exe infected by "Worm.Win32.VB.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\gfs-10151.exe tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.
File C:\WINDOWS\gwd-10001.exe tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.
File C:\WINDOWS\mrn-10003.exe tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.
File C:\WINDOWS\system32\EGAUTH.dll infected by "TrojanDownloader.Win32.P2E.ad" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\EGDHTML_1030.dll tagged as not-a-virus:PornWare.Dialer.InstantAccess. No Action Taken.
File C:\WINDOWS\system32\MSCSVC32.exe infected by "Worm.Win32.VB.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\p2esocks_1019.dll infected by "TrojanDownloader.Win32.P2E.ad" Virus. Action Taken: No Action Taken.
File C:\j2sdk1.4.2_04\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\j2sdk1.4.2_04\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\Programme\FlashGet\BACKUP\cd_install277.exe tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
File C:\RECYCLER\S-1-5-21-1757981266-1682526488-682003330-1004\Dc26.exe tagged as not-a-virus:PornWare.Dialer.Holistyc.gen. No Action Taken.
File C:\WINDOWS\gfs-10151.exe tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.
File C:\WINDOWS\gwd-10001.exe tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.
File C:\WINDOWS\mrn-10003.exe tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.
File C:\WINDOWS\system32\EGAUTH.dll infected by "TrojanDownloader.Win32.P2E.ad" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\EGDHTML_1030.dll tagged as not-a-virus:PornWare.Dialer.InstantAccess. No Action Taken.
File C:\WINDOWS\system32\MSCSVC32.exe infected by "Worm.Win32.VB.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\p2esocks_1019.dll infected by "TrojanDownloader.Win32.P2E.ad" Virus. Action Taken: No Action Taken.
File D:\apps\Utilities\DivX Player\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\eigene dateien\UNI\2002WS\INFORMATIK\J2SDK141_01\DEMO\APPLETS\BARCHART\BARCHART.CLASS tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File D:\eigene dateien\UNI\2002WS\INFORMATIK\J2SDK141_01\DEMO\PLUGIN\APPLETS\BARCHART\BARCHART.CLASS tagged as not-a-virus:JavaClass.Chart. No Action Taken.

Logfile of HijackThis v1.98.2
Scan saved at 23:35:43, on 08.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\MSCSVC32.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATnotes\ATnotes.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Opera7\Opera.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\Explorer.EXE
C:\HijackThis.exe

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB002" /M "Stylus C64"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [mscsvc32] C:\WINDOWS\system32\MSCSVC32.exe
O4 - HKLM\..\RunOnce: [mscsvc32] C:\WINDOWS\system32\MSCSVC32.exe /RunOnce
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro 4\AdBlocker.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/ado...ere/index.html
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binarie...1019_EN_XP.cab
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binarie...EGDHTML_XP.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binarie...hv32_EN_XP.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14962046...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094744486343
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab

Habe jetzt mal alle Einträge aus dem regedit gelöscht bei dem die Datei aufgetaucht ist. Bis jetzt läuft alles wunderbar. Ich hoffe das bleibt auch so. Werde jetzt nochmal mit diversen Programmen alles säubern und nachher meine Hijack-Log nochmal posten. Ich hoffe das mein PC dann mal wieder komplett rein ist

Hi,
das hier: Worm.Win32.VB.l ist was ganz neues, erkannt von Kaspersky am 2.11.
Norton kennt ihn noch nicht.
Der hier: TrojanDownloader.Win32.P2E.ad
wird von Kaspersky erkannt.
Deshalb: die Dateien, die die o.a. dinge enthalten
hier online scannen.
Runterladen: AdAware SE und laufen lassen, alles löschen lassen, was er findet.
Dann bitte Ergebnisse reinposten.