| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: mszx23.exe "Backdoor.Win32.Haxdoor.bh"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
31.01.2005, 14:07
| #3 |
| |  mszx23.exe "Backdoor.Win32.Haxdoor.bh" also: hier die eScan-Ergebnisse:
__________________File C:\WINDOWS\System32\mszx23.exe infected by "Backdoor.Win32.Haxdoor.bh" Virus. Action Taken: File Renamed. File C:\WINDOWS\system32\ysbinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gv" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmp13.tmp infected by "Trojan-Downloader.Win32.Agent.hp" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmp19.tmp infected by "Trojan-Downloader.Win32.Small.aha" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmp4.tmp infected by "Trojan-Downloader.Win32.Agent.hp" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmp6.tmp infected by "Trojan-Downloader.Win32.Small.aha" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmpC.tmp infected by "Trojan-Downloader.Win32.Small.aha" Virus. Action Taken: File Deleted. Und folgende Errors kamen vor(und noch einige andere). Aber sagt das was aus. Wobei z.B. die Userclass (letzter Eintrag) auch schonmal von AVG als infiziert geoutet wurde! Mon Jan 31 13:16:28 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys Mon Jan 31 13:07:32 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\Andreas\NTUSER~1.LOG Mon Jan 31 13:07:32 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\Andreas\ntuser.dat Mon Jan 31 13:07:32 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\Andreas\LOKALE~1\Verlauf\History.IE5\MSHIST~1\index.dat Mon Jan 31 13:07:32 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\Andreas\LOKALE~1\Verlauf\History.IE5\index.dat Mon Jan 31 13:07:25 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\index.dat Mon Jan 31 13:05:34 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Mon Jan 31 13:07:03 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\Andreas\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG Und hier auch nochmal ein Hijack-log, da ich natürlich schon einiges versucht und gelöscht habe: Logfile of HijackThis v1.99.0 Scan saved at 13:44:15, on 31.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\bases\mwavscan.com C:\bases\kavss.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\DATEN\Download\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - Startup: AcrobatAssistent.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Startup: winupdate10339852[1].exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O13 - Home Prefix: O13 - Mosaic Prefix: O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe wegen eScan: soll ich die dateien einfach so löschen? das habe ich schon zig-mal gemacht und beim nächsten Systemstart (auch abgesichert) ist zumindest die mszx23.exe wieder da!!! |
| Themen zu mszx23.exe "Backdoor.Win32.Haxdoor.bh" |
| .exe, .inf, abgesicherten modus, acrobat, adobe, alert, antivir, antivir update, bho, bla, brauche hilfe, check, danke, dateien, explorer, file missing, hijackthis, hotkey, internet, internet explorer, microsoft, monitor, obfuscated, popup, programme, regedit, software, systemstart, tcpip, temp, update, urlsearchhook, windows, windows xp |
Baum-Darstellung