| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
25.10.2009, 18:47
| #1 |
| |  Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) Guten Abend, nachdem ich gestern etwas unbedacht eine Datei geöffnet habe, welche ich nicht hätte öffnen sollen haben sich einige Störenfriede bei mir eingenistet, die mich gerade ein wenig verzweifeln lassen. Ich habe das System seit gestern mit Spybot S&D, Avira AntiVir, Malwarebytes AM und HijackThis gescannt und auch einige Funde gehabt und versucht diesen entgegenzuwirken. Problem war nur nach dem letzten Anti Malware Scan, wo ich alle acht Funde umgehend gelöscht habe, mein System nicht mehr hochfuhr und während des bootens mit einem Bluescreen quittierte. Habe einen Wiederherstellungspunkt wiederhergestellt, wodurch natürlich auch einige meiner Gegenmaßnahmen rückgängig gemacht wurden. Aktuell bin ich also wieder erneut am scannen, weiß aber nicht was ich nun machen soll, da ich ohne weiteres die Dateien also wohl nicht löschen kann. Vor dem Anti Malware Scan war ich mir recht sicher, das mein System fast sauber ist. Ich hatte nur einen Eintrag im Autostart Bereich der Registry, welcher sich nach dem Löschen direkt wieder neu eintrug. Es ging um die "jusched.exe" (Habe gar kein Java installiert), welche aber in meinem Userverzeichnis lag und welche ich auch löschen konnte. Nur den Registryeintrag nicht und das obwohl im Hintergrund keine verdächtigen Programme liefen. Da wusste ich nicht mehr weiter. Ich wäre demnach sehr dankbar, wenn man mir Tipps zur weiteren Vorgehensweise geben könnte. Sollte ich was vergessen haben oder noch Informationen benötigt werden, bitte Bescheid geben. Anbei füge ich noch Logs von Anti Malware, HiJackThis und in den Anhang von OTL ein, da RSIT unter Windows 7 nicht zu funktionieren scheint. Letzterer Log ist auf Grund der Dateigrößenbeschränkungen für Anhänge zweigeteilt. HiJackThis Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:30:13, on 25.10.2009 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\system32\taskhost.exe D:\system\TuneUp Utilities 2010 Beta\TuneUpUtilitiesApp32.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Windows\system32\Dwm.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe D:\system\Avira\AntiVir Desktop\avgnt.exe D:\internet\ICQ6.5\ICQ.exe C:\Windows\system32\svchost.exe D:\system\TuneUp Utilities 2010 Beta\TUBackgroundAnalyzer.exe C:\Windows\system32\wuauclt.exe d:\system\Malwarebytes' Anti-Malware\mbam.exe C:\Program Files\Opera\opera.exe C:\Windows\explorer.exe D:\internet\µTorrent\utorrent-1.8.exe D:\system\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [avgnt] "D:\system\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] d:\system\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ICQ] "D:\internet\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [Java Quick Start] C:\Users\Sebastian\jusched.exe O4 - HKCU\..\Run: [PopRock] C:\Users\SEBAST~1\AppData\Local\Temp\b.exe O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Per Mitteilung versenden(&M) ... - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\IE\tssms.htm O8 - Extra context menu item: Über Bluetooth senden - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\IE\tsinfo.htm O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\tools\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\tools\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\tools\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\internet\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\internet\ICQ6.5\ICQ.exe O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O13 - Gopher Prefix: O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E45FC9FF-022B-4B7D-B9A5-F5AAB776CC9C}: NameServer = 192.168.1.1 O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - (no file) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\system\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\system\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: HDDlife HDD Access service - Unknown owner - C:\Program Files\Common Files\BinarySense\hldasvc.exe (file missing) O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NMSAccessU - Unknown owner - d:\tools\CDBurnerXP\NMSAccessU.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\Windows\system32\pr2ah4nc.exe O23 - Service: @D:\system\TuneUp Utilities 2010 Beta\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - D:\system\TuneUp Utilities 2010 Beta\TuneUpDefragService.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - D:\system\TuneUp Utilities 2010 Beta\TuneUpUtilitiesService32.exe O23 - Service: SAMSUNG WiselinkPro Service (WiselinkPro) - Unknown owner - C:\Program Files\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe -- End of file - 6038 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3030
Windows 6.1.7600
25.10.2009 18:46:08
mbam-log-2009-10-25 (18-46-03).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 179112
Laufzeit: 44 minute(s), 11 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7
Infizierte Speicherprozesse:
C:\Windows\msa.exe (Trojan.Agent) -> No action taken.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings\tm (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\java quick start (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock (Trojan.Downloader) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Users\Mustermann\AppData\Local\Temp\8353.tmp (Rootkit.TDSS) -> No action taken.
C:\Users\Mustermann\jusched.exe (Trojan.Downloader) -> No action taken.
C:\Windows\msa.exe (Trojan.Agent) -> No action taken.
C:\Windows\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.
C:\Users\Mustermann\AppData\Local\Temp\b.exe (Trojan.Downloader) -> No action taken.
C:\Users\Mustermann\AppData\Local\Temp\msxml71.dll (Trojan.FakeAlert) -> No action taken.
|
|
25.10.2009, 20:01
| #2 |
| | Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) hab genau das gleiche problem mit b.exe und msa.exe
__________________hatte beide sachen über den security task manager entfernt......nachm neustart sind beide sachen zumindest nichtmehr im task manager angezeigt.........erneute suche über spybot hat mir diese beiden auch net angezeigt....allerdings hab ich immernoch 2 trojan.generic drauf.........könnte auch durchaus sein, dass diese beiden unter dieser bezeichnung gefunden werden...... bin leider nur laie....wäre auch sehr glücklich wenn hier n erfahrener profi mal was verlauten lassen könnte |
|
25.10.2009, 20:03
| #3 |
| | Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) asso
__________________jusched.exe is eigentl. nix weltbewegendes...kein virus oder so jusched = Java Update Scheduler, prüft regelmäßig auf Java-Updates |
|
25.10.2009, 20:16
| #4 | |
| /// Helfer-Team   | Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)Zitat:
Schau mal nach, wo der Fund liegt! Code:
ATTFilter C:\Users\Mustermann\jusched.exe
Code:
ATTFilter O4 - HKCU\..\Run: [Java Quick Start] C:\Users\Sebastian\jusched.exe
Code:
ATTFilter C:\Programme\Java\jre6\bin\jusched.exe
Handball10
__________________ Lustige Rechtschreibfehler des Trojanischen Pferdes "Trojan.Win32.FraudPack.ajn" Lustige Rechtschreibfehler von "XP Deluxe Protector" - Neu !! |
|
25.10.2009, 20:21
| #5 | |
| | Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)Zitat:
ok danke.....bin halt wirkl laie...und hatte mich auch nur informiert...... |
|
25.10.2009, 20:25
| #6 |
| | Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) Wie oben bereits erwähnt, ich habe kein Java installiert, deswegen ist der Aufruf des Java Updaters doch was bewegendes, wenn auch nicht weltbewegend! Im Moment habe ich aber ein anderes, größeres Problem. Ich habe nachdem letzten Anti Malware Scan wieder einige Sachen gelöscht, konnte danach wieder nicht hochfahren, aber diesmal waren die Wiederherstellungspunkte nicht mehr vorhanden. Nun kriege ich mein System nicht mehr gestartet, repariert oder kann sonstwas damit machen. Aktuell habe ich von einer Live-CD Ubuntu gestartet und bin damit online. Werde wohl ein paar Daten sichern und formatieren und neuinstallieren, solange kein anderer einen besseren Vorschlag hat? Gruß Sebastian |
|
25.10.2009, 20:33
| #7 | |
| /// Helfer-Team | Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)Zitat:
 Zumal es schneller und sicherer ist. Schau mal nach, od du die Jusched.exe noch finden kannst. Code:
ATTFilter C:\Users\Sebastian\jusched.exe
VirusTotal - Kostenloser online Viren- und Malwarescanner und poste das Ergebnis. Gruß Handball10
__________________ Lustige Rechtschreibfehler des Trojanischen Pferdes "Trojan.Win32.FraudPack.ajn" Lustige Rechtschreibfehler von "XP Deluxe Protector" - Neu !! |
|
26.10.2009, 17:30
| #8 | |
| | Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)Zitat:
|
|
| Themen zu Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) |
| adobe, anti malware, antivir, antivir guard, avg, avira, bho, bluescree, bluescreen, cdburnerxp, desktop, explorer, hijack, hijackthis, internet, internet explorer, jusched.exe, local\temp, logfile, löschen, malware.trace, malwarebytes' anti-malware, maßnahme, object, opera, problem, programme, registrierungsschlüssel, registry, rootkit.tdss, rundll, rückgängig, software, system, temp, trojan.downloader, tuneup.defrag, windows |
Linear-Darstellung
