Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: mswsa

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.01.2006, 18:22   #1
zewa
 
mswsa - Standard

mswsa



ich habe "wswsa.exe" (<- windows\system32) auf dem rechner (gehabt?). das ding scheint ne menge zu suagen und mit sich zu bringen. wird z.b. von avg noch erkannt. kasper...hat es erkannt mich gewarnt und weiß ich wieviele zugriffe auf dem netz von "lovesan" abgewehrt.

dann habe ich mit dem programm "autorun" im abgesichteren modus, die programme abgestellt, die ich damit in verbindung bringen konnte. war hauptsächlich besagtes.

danach habe ich neugestartet und kasper... hat noch was gefunden: windows\system32\i <- wurde angeblich gelöscht.

ich komme aber nicht mehr ins netz mit dem rechner. irgendwas stimmt da noch nicht. wahrscheinlich bin ich noch nicht fertig.

würde jemand sich meine logfile ansehen und mir sagen was da los ist?

Logfile of HijackThis v1.99.1
Scan saved at 19:10:59, on 15.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\Programme\iTunes\iTunesHelper.exe
E:\Programme\QuickTime\qttask.exe
E:\WINDOWS\System32\ctfmon.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\iPod\bin\iPodService.exe
E:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [ccApp] E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] E:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LWBMOUSE] E:\Programme\iWare\iWare Mouse\3.2\MOUSE32A.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\RunServices: [MS Windows System Alert] MSWSA32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = E:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

Alt 15.01.2006, 18:27   #2
BataAlexander
> MalwareDB
 
mswsa - Standard

mswsa



Hallo,

Dein Log File sieht normal aus, allerdings fehlen Dir Updates.
Lade Dir in Zukunft alle Updates für Dein OS runter.

Gruß

Schrulli
__________________

__________________

Alt 15.01.2006, 18:45   #3
cacatoa
 
mswsa - Standard

mswsa



Hi, hier muß ich mich einmischen:
Du hast einen aktiven Backdoor-Trojaner auf deinem System, das nun nicht mehr dir gehört.
Es handelt sich um RBot-BFN,
der u.a. folgendes macht:
W32/Rbot-BFN läuft kontinuierlich im Hintergrund und stellt einen Backdoor-Server zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.
Das bedeutet für dich, daß es am sinnvollsten ist, das System neu aufzusetzen.
cacatoa
__________________
__________________

Alt 15.01.2006, 19:31   #4
BataAlexander
> MalwareDB
 
mswsa - Standard

mswsa



Hallo,

@ cacatoa: Du hast recht
@ zewa : Sorry hab ich mal glatt nicht gelesen!

Zum Glück wird hier meistens gegengelesen.

gehabt

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 15.01.2006, 20:10   #5
zewa
 
mswsa - Standard

mswsa



mist...und ich hatte schon hoffnung, dass es doch einfacher ging als gedacht.

neu aufsetzen? kann ich da gleich hier noch was zu fragen? wenn ich 2 partitionen habe, kann ich datein dann auf der einen, auf der ein anderes system ist, packen um sie zu sichern? hab keinen brenner, ist ein sehr alter rechner mit vielen gesammelten daten...

die frage ist also, wenn ich E platt mache, kann c bleiben und meine privaten dateien bleiben erhalten?


Alt 15.01.2006, 20:30   #6
Markus1234
 
mswsa - Standard

mswsa



Zitat:
Du hast einen aktiven Backdoor-Trojaner auf deinem System, das nun nicht mehr dir gehört.
dumme frage - aber woran merkst du das?

Alt 15.01.2006, 20:34   #7
hoerni26
 
mswsa - Standard

mswsa



hallo zewa,

wenn es bilder,musik usw sind sollte dies klappen.
aber trotzdem vorm wieder draufspielen einen virenscanner drüberlaufen lassen.
__________________


Anleitung Neuaufsetzen des Systems

Anleitung Hijackthis

Virusscan Jotti

Fehler sind Menschlich.....

Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm..

Alt 15.01.2006, 20:37   #8
hoerni26
 
mswsa - Standard

mswsa



@markus

guckst du hier:

O4 - HKLM\..\RunServices: [MS Windows System Alert] MSWSA32.exe

dies ist der trojaner..
__________________


Anleitung Neuaufsetzen des Systems

Anleitung Hijackthis

Virusscan Jotti

Fehler sind Menschlich.....

Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm..

Alt 15.01.2006, 20:37   #9
zewa
 
mswsa - Standard

mswsa



OK :-) @hoerni, ich versuche es einfach mal.

@markus: wie meinst du deine frage? bitte etwas konkretisieren

edit: hoppla ...hoerni hat schon geantwortet.

Alt 15.01.2006, 20:41   #10
Markus1234
 
mswsa - Standard

mswsa



soso .. danke

trotzdem glaube ich nicht daran, dass dieses sicherheitsloch unstopfbar ist ...
ich werd mich mal versuchn n bissl schlau zu machen

Alt 15.01.2006, 20:42   #11
hoerni26
 
mswsa - Standard

mswsa



wie meinst du das denn nun??
welches sicherheitsloch willst du stopfen??
werd genauer bitte..
__________________


Anleitung Neuaufsetzen des Systems

Anleitung Hijackthis

Virusscan Jotti

Fehler sind Menschlich.....

Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm..

Alt 15.01.2006, 21:02   #12
Markus1234
 
mswsa - Standard

mswsa



Der Trojaner öffnet ein Hintertürchen, das auch nach seinem entfernen offen bleiben soll.

So hab ich es verstanden

Ich glaubÄ halt, dass man auch nachträglich das Türchen schließen kann.
Das wird hier ja so dramatisiert ... whui

Alt 15.01.2006, 21:03   #13
zewa
 
mswsa - Standard

mswsa



also ich hatte anweisungen gefunden bei denen das ding aus dem autostart genommen werden sollte und dann gelöscht.

bei dem was ich bisher gemacht habe, funktionierte hinterher die internetverbindung nicht mehr, d.h. konnte ich mich zwar einwählen, aber leider nichts auf oder abrufen...

wenn es eine möglichkeit gibt das system nicht Neuaufsetzen zu müssen wäre ich zwar dankbar, ahne aber schon, dass es wohl nicht anders gehen wird.

Alt 15.01.2006, 21:36   #14
hoerni26
 
mswsa - Standard

mswsa



es gibt keine sichere lösung ausser das Neuaufsetzen des systems..
setze es neu auf und sichere es ordentlich ab,damit soetwas nicht mehr passiert.
__________________


Anleitung Neuaufsetzen des Systems

Anleitung Hijackthis

Virusscan Jotti

Fehler sind Menschlich.....

Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm..

Alt 15.01.2006, 21:39   #15
Markus1234
 
mswsa - Standard

mswsa



ah stop .. für das problem mit der verbindung habe ich ne lösung ...

http://www.softpedia.com/progDownloa...oad-15337.html

funktioniert einwandfrei ..

Antwort

Themen zu mswsa
alert, autorun, avg, boot, computer, dateien, desktop, einstellungen, excel, explorer, hijack, hijackthis, internet, internet explorer, kaspersky, logfile, microsoft, programm, programme, symantec, system, system alert, system32, windows, windows system, windows xp



Zum Thema mswsa - ich habe "wswsa.exe" (<- windows\system32) auf dem rechner (gehabt?). das ding scheint ne menge zu suagen und mit sich zu bringen. wird z.b. von avg noch erkannt. kasper...hat es erkannt - mswsa...
Archiv
Du betrachtest: mswsa auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.