msexcl41.dll

Butch123 · 03.06.2007, 14:01

Hallo..

hab grade wiedermal eine HijackThis online ausgewertet, und da ist mir eine Datei aufgefallen, die als "unbekannt" angezeigt wurde.

Und zwar handelt es sich dabei um "msexcl41.dll", hab danach auch schon bei google gesucht, allerdings ohne Erfolg.

Vorher die Datei bei Virustotal.com hochgeladen, mit folgendem Ergebnis:

Complete scanning result of "msexcl41.dll", received in VirusTotal at 06.03.2007, 14:30:20 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.01.2007 no virus found
AntiVir 7.4.0.29 06.01.2007 ADSPY/Stud.A.43
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 06.01.2007 Win32:Trojano-3384
AVG 7.5.0.467 06.02.2007 Adware Generic2.AMI
BitDefender 7.2 06.03.2007 Trojan.Agent.BHO.F
CAT-QuickHeal 9.00 06.02.2007 no virus found
ClamAV devel-20070416 06.03.2007 AdWare.Stud
DrWeb 4.33 06.03.2007 no virus found
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3688 06.03.2007 no virus found
Ewido 4.0 06.03.2007 Adware.Stud
FileAdvisor 1 06.03.2007 no virus found
Fortinet 2.85.0.0 06.02.2007 no virus found
F-Prot 4.3.2.48 06.01.2007 no virus found
F-Secure 6.70.13030.0 06.03.2007 no virus found
Ikarus T3.1.1.8 06.03.2007 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 06.03.2007 not-a-virus:AdWare.Win32.Stud.a
McAfee 5044 06.01.2007 no virus found
Microsoft 1.2503 06.03.2007 no virus found
NOD32v2 2305 06.01.2007 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 06.01.2007 W32/Stud.AE
Panda 9.0.0.4 06.03.2007 no virus found
Prevx1 V2 06.03.2007 no virus found
Sophos 4.18.0 06.01.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 no virus found
Symantec 10 06.03.2007 Adware.Webprefix
TheHacker 6.1.6.128 05.31.2007 Adware/Stud.a
VBA32 3.12.0 06.02.2007 suspected of Trojan-Downloader.Agent.49
VirusBuster 4.3.23:9 06.02.2007 no virus found
Webwasher-Gateway 6.0.1 06.03.2007 Ad-Spyware.Stud.A.43

Aditional Information
File size: 35292 bytes
MD5: ff0d365ffbadc98afefe87bfa00b3681
SHA1: b8a02149f5a23f4d685906835cd4f45e5470a932
packers: UPX
packers: UPX
packers: UPX
packers: UPX

Mein AntiVir hat komischerweise nichts angezeigt, der vom Virustotal schon..

Jetzt meine Frage dazu, kann ich die Datei einfach mit HijackThis entfernen?

Wollte einfach nachfragen, weil es ja eine Systemdatei zu sein scheint, und ich da nichts einfach so löschen will..

Danke schonmal!

/edit: Logfile of HijackThis v1.99.1
Scan saved at 15:03:28, on 03.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\BitTorrent_DNA\dna.exe
C:\Programme\BitTorrent\bittorrent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\xxxx\Desktop\Hijhackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://www.bluewin.ch/index_d.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h..p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h..p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h..p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h..p://www.bluewin.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4FEF5E20-27FA-4CF0-84D8-968F9A7FADFF} - C:\WINDOWS\system32\msexcl41.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [DNA] "C:\Programme\BitTorrent_DNA\dna.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Quick Help.lnk = C:\Programme\Bluewin\Quick Help\bin\matcli.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h..p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180535105796
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h..p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1180535095968
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} (Java Plug-in 1.4.2_03) -
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

b6d · 03.06.2007, 18:58

ich würd sagen, du kannst sie löschen. sieht nicht besonders nach einer echten systemdatei aus.
mach aber vorher nen systemwiederherstellungspunkt^^

Butch123 · 03.06.2007, 19:52

Ok, hab nen Systemwiederherstellungspunkt erstellt und die Datei anschliessend gelöscht wie du gesagt hast.

Hab noch paar Fragen..

Und zwar, wählen diese Trojaner (oder was es auch immer war) die Namen zufällig aus, oder warum hab ich dazu nichts im Internet gefunden?

Ausserdem hab ich noch einen komischen Einträge im Log, von denen ich nicht genau weiss was ich davon halten soll:

O11 - Options group: [INTERNATIONAL] International* Art Neutral Neutral

Kann ich das auch so lassen oder entfernen? :-)

MfG und thx

/edit: und achja... hab mir grad den Security Task Manager gezogen, komischerweise zeigt der BitTorrent als gefährlich an?? Warum das? Auch AntiVir wird als gefährlich angezeigt..

b6d · 03.06.2007, 20:03

steht dort alles beschrieben wenn du darauf klickst,
zB es überwacht prozesse oder sowas oder ist kein sichtbares fenster oder verbindet sich mit dem internet...

Butch123 · 03.06.2007, 20:16

Okay, also nochmal wegen dem Bittorrent...

Hab grad entdeckt, dass ich zwei Ordner von dem Programm hab?!

1. C:/Programme/BitTorrent

und

2. C:/Programme/BitTorrent_DNA

Hab jetzt grad die dna.exe bei Virustotal.com raufgeladen, und und paar (wenn auch wenige) Antivirusprogs haben sogar was entdeckt:

AhnLab-V3 2007.5.31.2 06.01.2007 no virus found
AntiVir 7.4.0.29 06.03.2007 no virus found
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 06.01.2007 no virus found
AVG 7.5.0.467 06.03.2007 no virus found
BitDefender 7.2 06.03.2007 no virus found
CAT-QuickHeal 9.00 06.02.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 06.03.2007 no virus found
DrWeb 4.33 06.03.2007 no virus found
eSafe 7.0.15.0 06.03.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3688 06.03.2007 no virus found
Ewido 4.0 06.03.2007 no virus found
FileAdvisor 1 06.03.2007 No threat detected
Fortinet 2.85.0.0 06.02.2007 no virus found
F-Prot 4.3.2.48 06.01.2007 no virus found
F-Secure 6.70.13030.0 06.03.2007 no virus found
Ikarus T3.1.1.8 06.03.2007 no virus found
Kaspersky 4.0.2.24 06.03.2007 no virus found
McAfee 5044 06.01.2007 no virus found
Microsoft 1.2503 06.03.2007 no virus found
NOD32v2 2305 06.01.2007 no virus found
Norman 5.80.02 06.01.2007 no virus found
Panda 9.0.0.4 06.03.2007 no virus found
Prevx1 V2 06.03.2007 no virus found
Sophos 4.18.0 06.01.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 VIPRE.Suspicious
Symantec 10 06.03.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 06.03.2007 no virus found
VirusBuster 4.3.23:9 06.03.2007 no virus found
Webwasher-Gateway 6.0.1 06.03.2007 Win32.Malware.gen#PECompact!84 (suspicious)

Wie soll ich da vorgehn?

/edit: Hmm hab grad bissl recherchiert, dabei handelt es sich tatsächlich um irgendein Virus, der bei der neusten Bittorrent Version unbemerkt anschliessend installiert wird...

Wie kann ich den am besten entfernen?

03.06.2007, 18:58	#2
b6d	msexcl41.dll ich würd sagen, du kannst sie löschen. sieht nicht besonders nach einer echten systemdatei aus. mach aber vorher nen systemwiederherstellungspunkt^^ __________________

03.06.2007, 20:03	#4
b6d	msexcl41.dll steht dort alles beschrieben wenn du darauf klickst, zB es überwacht prozesse oder sowas oder ist kein sichtbares fenster oder verbindet sich mit dem internet...

msexcl41.dll

Plagegeister aller Art und deren Bekämpfung: msexcl41.dll

msexcl41.dll

msexcl41.dll

msexcl41.dll

msexcl41.dll

msexcl41.dll