Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Msocust.dll???

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.09.2007, 15:44   #1
KillingFrenzy
 
Msocust.dll??? - Standard

Msocust.dll???



Hey Leute!

Ich hatte anscheinend irgendeinen Virus und habe daher (mal wieder) System neu aufgesetzt! Nun befindet sich auf meiner externen Festplatte ein Ordner "0fab87379fbb9010f68806b7ea4be193" in dem sich ein Ordner update befindet und in dem die DLL Datei Msocust.dll
Da hab ich mir natürlich schon gedacht das da ja was Faul sein muss, denn löschen geht nicht umbennen und sonst was auch nicht. Habe sogar schon mit dem Unlocker (Ein kleines Tool um solche Dateinen zu löschen) probiert aber das Funktioniert auch nicht ...
Ich hatte nu die Festplatte eine Woche nicht mehr am PC und gerade als ich sie angeschlossen habe um meine Daten zu sichern sehe ich dort einen zweiten Ordner "c91d154ec37b45334166". In diesem Ordner ist genau wie im anderen ein weiterer Ordner Update und die DLL Datei Msocust.dll.

1. Ist das ein Virus?
2. Wenn nicht wofür dient die Datei?
3. Wenn ja wie kann ich ihn löschen und in wie weit wirkt er sich auf mein System aus?

Hoffe auf schnelle Antwort! Solange stöpsel ich die Festplatte ab nicht das da noch was passiert. Der Virus den ich bekommen hatte war der bekannte MSN Virus ... Vielleicht hilft das etwas!

mfg
KillingFrenzy

Alt 16.09.2007, 21:27   #2
Pelzmaus
Gesperrt
 
Msocust.dll??? - Standard

Msocust.dll???



Hallo

Zitat:
Ich hatte anscheinend irgendeinen Virus und habe daher (mal wieder) System neu aufgesetzt!
Dann machst Du sicher was falsch, oder bereitet Dir das Spaß?? Na ja, wenn Du öfter formatierst, hast Du ja sicher Routine, oder?

SCNR

Zitat:
1. Ist das ein Virus?
Ohne weitere Infos nicht zu beantworten, das Tool der Stunde heißt HJT!

Link:

HijackThis - bebilderte Anleitung

Zitat:
2. Wenn nicht wofür dient die Datei?
Über google habe ich nichts erhellendes gefunden, außer diesem Artikel hier, kannst Du gut englisch?

msocust.dll?

Zitat:
3. Wenn ja wie kann ich ihn löschen und in wie weit wirkt er sich auf mein System aus?
Hast Du es schon mal im abgesicherten Modus versucht?

BTW, für das Logfile, bitte mache persönliche Angaben (wie Dein Benutzername) unkenntlich, sowie URLs, damit sie nicht anklickbar sind. Am besten durch *, also statt "http" ---> "h**p".

Vorher bitte alle Dateiendungen sichtbar machen, hier ist die Beschreibung:

Link:

sicher-ins-netz.info - So schützen Sie Ihr System richtig ---> Punkt B.) c) umsetzen

Gruß
__________________


Alt 17.09.2007, 17:39   #3
KillingFrenzy
 
Msocust.dll??? - Standard

Msocust.dll???



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:37:21, on 17.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Wave Systems Corp\Common\DataServer.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Intel\AMT\LMS.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\NTRU Cryptosystems\NTRU Hybrid TSS v1.05\bin\tcsd_win32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel Audio Studio\IntelAudioStudio.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\FlashGet\FlashGet.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\svchost.exe
D:\Xfire\xfire.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" TRAY
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Flashget] C:\Programme\FlashGet\FlashGet.exe /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Xfire.lnk = D:\Xfire\xfire.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: DataSvr - Wave Systems Corp. - C:\Programme\Wave Systems Corp\Common\DataServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Intel(R) Active Management Technology LMS Service (LMS) - Intel - C:\Programme\Intel\AMT\LMS.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: NTRU Hybrid TSS v1.05 TCSD (tcsd_win32.exe) - Unknown owner - C:\Programme\NTRU Cryptosystems\NTRU Hybrid TSS v1.05\bin\tcsd_win32.exe

--
End of file - 8221 bytes

Hier die Logfile ... WAs du mit zensierungen meinst weiß ich nicht daher einfach die Logfile!

Meine Virenscanner erkennt diese Datei nicht als Virus aber sie kommt mir nicht so vor als wäre es einen normale Datei^^
__________________

Alt 18.09.2007, 12:11   #4
Pelzmaus
Gesperrt
 
Msocust.dll??? - Standard

Msocust.dll???



Hallo KillingFrenzy

Zitat:
Hier die Logfile ... WAs du mit zensierungen meinst weiß ich nicht daher einfach die Logfile!
Das ist bei Dir ok, soweit ich das sehen konnte, kein *Benutzername* und auch keine anklickbaren URLs.

Zum Logfile:

total überladen, alleine bei Deinem Autostart rollen sich bei mir die Zehennägel auf. Sag mal, muß das alles mitgestartet werden??

Ich denke da an SKYPE, MESSENGER, um nur mal ein paar Beispiele zu nennen. Hier empfehle ich, den Autostart mal aufzurufen ---> Start ---> Ausführen ---> msconfig -6, und dort jeden einzelnen Eintrag einer Prüfung zu unterziehen. Bei den genannten Programmen ist es mit Sicherheit nicht erforderlich, sie bei jedem Start mitzuladen, das verlangsamt auch den Startvorgang. Wenn Du bei einem Eintrag nicht sicher bist, nutze google.

Ferner fällt mir auf, daß der InternetExplorer nicht auf dem neuesten Stand ist, aktuell ist die Version 7.0.5730.11. Wenn Du also mit einer *alten* Version *arbeitest*, wenn auch nicht produktiv, da Du ja den FF nutzt, wie ich gesehen habe, besteht trotzdem die Gefahr, sich unliebsame Gäste *einzuhandeln*. Denn der Messenger setzt auf den IE auf, und durch dessen Nähe zum Betriebssystem haben es etwaige Schädlinge leicht, sich zu installieren. Ich verweise auf die kürzliche Welle des Messenger-Wurmes, der von angeblichen *Freunden* verschickt wurde, und zur Folge format : C hatte. Auch die google-Toolbar ist so ein *Fall*, würde ich runterschmeißen, wird nicht gebraucht, finde ich.

BHO = BrowserHelperObject = BHO - Internet-Fachbegriffe Online Lexikon

Leider habe ich keine Hilfe für Deine ursprüngliche Frage, bzgl. dieser ominösen .dll-Datei. Vielleicht haben andere User, die hier reinschauen, noch eine zündende Idee.

Für die Zukunft, damit Du nicht mehr so oft formatieren mußt:

--> nicht als Admin, sondern mit einem eingeschränkten Benutzerkonto surfen

--> Betriebssystem und alle Anwendungen, die Verbindung mit dem I-net herstellen können, stets aktuell halten (Browser, Java, Plugins)

--> Vorsicht beim surfen, keine unbedachten Klicks, Hirn einschalten, dann installierst Du Dir auch keine trojanischen Pferde

--> unnötige Dienste deaktivieren, entsprechende Ports schließen ---> NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de


Gruß

Alt 18.09.2007, 22:03   #5
KillingFrenzy
 
Msocust.dll??? - Standard

Msocust.dll???



Also erstmal kann ich bestimmt einige Sachen aus dem Autostart nehmen ... Jedoch habe ich gerade keine Zeit dafür...

Ich habe bei der letzten Formatierung mir ein Admin und ein Normales Konto angelegt jedoch kann ich mit dem Normalen Konto sozu sagen nix machen^^ Muss sogar immer wenn ich einen Anwendung starten will sagen Ausfürhen als und dann mein Admin PW und so ein tippen^^ Das ist recht nervig ...

Ich hoffe mir kann bald mal einer wegen meinem wirklichen Problem etwas sagen.


Antwort

Themen zu Msocust.dll???
.dll, anderen, antwort, datei, daten, dll, festplatte, funktioniert, geht nicht, geschlossen, kleines, leute, locker, löschen, msn, msn virus, natürlich, neu, neu aufgesetzt, nicht mehr, ordner, platte, system, system neu, tool, unlocker, update, virus, woche



Zum Thema Msocust.dll??? - Hey Leute! Ich hatte anscheinend irgendeinen Virus und habe daher (mal wieder) System neu aufgesetzt! Nun befindet sich auf meiner externen Festplatte ein Ordner "0fab87379fbb9010f68806b7ea4be193" in dem sich ein Ordner - Msocust.dll???...
Archiv
Du betrachtest: Msocust.dll??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.