Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.10.2009, 17:47   #1
brik
 
Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) - Standard

Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)



Guten Abend,
nachdem ich gestern etwas unbedacht eine Datei geöffnet habe, welche ich nicht hätte öffnen sollen haben sich einige Störenfriede bei mir eingenistet, die mich gerade ein wenig verzweifeln lassen.

Ich habe das System seit gestern mit Spybot S&D, Avira AntiVir, Malwarebytes AM und HijackThis gescannt und auch einige Funde gehabt und versucht diesen entgegenzuwirken.
Problem war nur nach dem letzten Anti Malware Scan, wo ich alle acht Funde umgehend gelöscht habe, mein System nicht mehr hochfuhr und während des bootens mit einem Bluescreen quittierte.
Habe einen Wiederherstellungspunkt wiederhergestellt, wodurch natürlich auch einige meiner Gegenmaßnahmen rückgängig gemacht wurden.
Aktuell bin ich also wieder erneut am scannen, weiß aber nicht was ich nun machen soll, da ich ohne weiteres die Dateien also wohl nicht löschen kann.

Vor dem Anti Malware Scan war ich mir recht sicher, das mein System fast sauber ist. Ich hatte nur einen Eintrag im Autostart Bereich der Registry, welcher sich nach dem Löschen direkt wieder neu eintrug. Es ging um die "jusched.exe" (Habe gar kein Java installiert), welche aber in meinem Userverzeichnis lag und welche ich auch löschen konnte. Nur den Registryeintrag nicht und das obwohl im Hintergrund keine verdächtigen Programme liefen. Da wusste ich nicht mehr weiter.

Ich wäre demnach sehr dankbar, wenn man mir Tipps zur weiteren Vorgehensweise geben könnte.

Sollte ich was vergessen haben oder noch Informationen benötigt werden, bitte Bescheid geben.

Anbei füge ich noch Logs von Anti Malware, HiJackThis und in den Anhang von OTL ein, da RSIT unter Windows 7 nicht zu funktionieren scheint. Letzterer Log ist auf Grund der Dateigrößenbeschränkungen für Anhänge zweigeteilt.

HiJackThis Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30:13, on 25.10.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
D:\system\TuneUp Utilities 2010 Beta\TuneUpUtilitiesApp32.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\Dwm.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\system\Avira\AntiVir Desktop\avgnt.exe
D:\internet\ICQ6.5\ICQ.exe
C:\Windows\system32\svchost.exe
D:\system\TuneUp Utilities 2010 Beta\TUBackgroundAnalyzer.exe
C:\Windows\system32\wuauclt.exe
d:\system\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Opera\opera.exe
C:\Windows\explorer.exe
D:\internet\µTorrent\utorrent-1.8.exe
D:\system\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "D:\system\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] d:\system\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ICQ] "D:\internet\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Java Quick Start] C:\Users\Sebastian\jusched.exe
O4 - HKCU\..\Run: [PopRock] C:\Users\SEBAST~1\AppData\Local\Temp\b.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Per Mitteilung versenden(&M) ... - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\IE\tssms.htm
O8 - Extra context menu item: Über Bluetooth senden - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\IE\tsinfo.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\tools\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\tools\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\tools\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\internet\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\internet\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix: 
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E45FC9FF-022B-4B7D-B9A5-F5AAB776CC9C}: NameServer = 192.168.1.1
O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - (no file)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\system\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\system\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HDDlife HDD Access service - Unknown owner - C:\Program Files\Common Files\BinarySense\hldasvc.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NMSAccessU - Unknown owner - d:\tools\CDBurnerXP\NMSAccessU.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\Windows\system32\pr2ah4nc.exe
O23 - Service: @D:\system\TuneUp Utilities 2010 Beta\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - D:\system\TuneUp Utilities 2010 Beta\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - D:\system\TuneUp Utilities 2010 Beta\TuneUpUtilitiesService32.exe
O23 - Service: SAMSUNG WiselinkPro Service (WiselinkPro) - Unknown owner - C:\Program Files\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe

--
End of file - 6038 bytes
         
AM Log:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3030
Windows 6.1.7600

25.10.2009 18:46:08
mbam-log-2009-10-25 (18-46-03).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 179112
Laufzeit: 44 minute(s), 11 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
C:\Windows\msa.exe (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings\tm (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\java quick start (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock (Trojan.Downloader) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Mustermann\AppData\Local\Temp\8353.tmp (Rootkit.TDSS) -> No action taken.
C:\Users\Mustermann\jusched.exe (Trojan.Downloader) -> No action taken.
C:\Windows\msa.exe (Trojan.Agent) -> No action taken.
C:\Windows\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.
C:\Users\Mustermann\AppData\Local\Temp\b.exe (Trojan.Downloader) -> No action taken.
C:\Users\Mustermann\AppData\Local\Temp\msxml71.dll (Trojan.FakeAlert) -> No action taken.
         
Angehängte Dateien
Dateityp: txt OTL.Txt (59,3 KB, 497x aufgerufen)
Dateityp: txt OTL2.txt (59,2 KB, 479x aufgerufen)
Dateityp: txt Extras.Txt (45,9 KB, 771x aufgerufen)

Alt 25.10.2009, 19:01   #2
TrickyTricky
 
Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) - Standard

Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)



hab genau das gleiche problem mit b.exe und msa.exe

hatte beide sachen über den security task manager entfernt......nachm neustart sind beide sachen zumindest nichtmehr im task manager angezeigt.........erneute suche über spybot hat mir diese beiden auch net angezeigt....allerdings hab ich immernoch 2 trojan.generic drauf.........könnte auch durchaus sein, dass diese beiden unter dieser bezeichnung gefunden werden......

bin leider nur laie....wäre auch sehr glücklich wenn hier n erfahrener profi mal was verlauten lassen könnte
__________________


Alt 25.10.2009, 19:03   #3
TrickyTricky
 
Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) - Standard

Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)



asso

jusched.exe is eigentl. nix weltbewegendes...kein virus oder so

jusched = Java Update Scheduler, prüft regelmäßig auf Java-Updates
__________________

Alt 25.10.2009, 19:16   #4
handball10
/// Helfer-Team
 
Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) - Standard

Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)



Zitat:
asso

jusched.exe is eigentl. nix weltbewegendes...kein virus oder so

jusched = Java Update Scheduler, prüft regelmäßig auf Java-Updates
Da liegst du falsch!

Schau mal nach, wo der Fund liegt!
Code:
ATTFilter
C:\Users\Mustermann\jusched.exe
         
und der wird hierdrüber gestartet:
Code:
ATTFilter
O4 - HKCU\..\Run: [Java Quick Start] C:\Users\Sebastian\jusched.exe
         
Wenn ich so bei mir auf dem PC schaue, liegt die Datei im folgenden Verzeichnis:
Code:
ATTFilter
C:\Programme\Java\jre6\bin\jusched.exe
         
Gruß
Handball10

Alt 25.10.2009, 19:21   #5
TrickyTricky
 
Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) - Standard

Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)



Zitat:
Zitat von handball10 Beitrag anzeigen
Da liegst du falsch!

Schau mal nach, wo der Fund liegt!
Code:
ATTFilter
C:\Users\Mustermann\jusched.exe
         
und der wird hierdrüber gestartet:
Code:
ATTFilter
O4 - HKCU\..\Run: [Java Quick Start] C:\Users\Sebastian\jusched.exe
         
Wenn ich so bei mir auf dem PC schaue, liegt die Datei im folgenden Verzeichnis:
Code:
ATTFilter
C:\Programme\Java\jre6\bin\jusched.exe
         
Gruß
Handball10

ok danke.....bin halt wirkl laie...und hatte mich auch nur informiert......


Alt 25.10.2009, 19:25   #6
brik
 
Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) - Standard

Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)



Wie oben bereits erwähnt, ich habe kein Java installiert, deswegen ist der Aufruf des Java Updaters doch was bewegendes, wenn auch nicht weltbewegend!

Im Moment habe ich aber ein anderes, größeres Problem. Ich habe nachdem letzten Anti Malware Scan wieder einige Sachen gelöscht, konnte danach wieder nicht hochfahren, aber diesmal waren die Wiederherstellungspunkte nicht mehr vorhanden.
Nun kriege ich mein System nicht mehr gestartet, repariert oder kann sonstwas damit machen.
Aktuell habe ich von einer Live-CD Ubuntu gestartet und bin damit online. Werde wohl ein paar Daten sichern und formatieren und neuinstallieren, solange kein anderer einen besseren Vorschlag hat?

Gruß
Sebastian

Alt 25.10.2009, 19:33   #7
handball10
/// Helfer-Team
 
Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) - Standard

Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)



Zitat:
(...)Werde wohl ein paar Daten sichern und formatieren und neuinstallieren(...)
Gute Entscheidung
Zumal es schneller und sicherer ist.

Schau mal nach, od du die Jusched.exe noch finden kannst.
Code:
ATTFilter
C:\Users\Sebastian\jusched.exe
         
Falls sie noch vorhanden sein sollte, lade sie hier hoch:
VirusTotal - Kostenloser online Viren- und Malwarescanner

und poste das Ergebnis.

Gruß
Handball10

Alt 26.10.2009, 16:30   #8
brik
 
Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) - Standard

Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)



Zitat:
Zitat von handball10 Beitrag anzeigen
Schau mal nach, od du die Jusched.exe noch finden kannst.
Code:
ATTFilter
C:\Users\Sebastian\jusched.exe
         
Falls sie noch vorhanden sein sollte, lade sie hier hoch:
VirusTotal - Kostenloser online Viren- und Malwarescanner

und poste das Ergebnis.

Gruß
Handball10
Hallo, tut mir leid, aber dafür war es schon zu spät!

Antwort

Themen zu Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)
adobe, anti malware, antivir, antivir guard, avg, avira, bho, bluescree, bluescreen, cdburnerxp, desktop, explorer, hijack, hijackthis, internet, internet explorer, jusched.exe, local\temp, logfile, löschen, malware.trace, malwarebytes' anti-malware, maßnahme, object, opera, problem, programme, registrierungsschlüssel, registry, rootkit.tdss, rundll, rückgängig, software, system, temp, trojan.downloader, tuneup.defrag, windows



Ähnliche Themen: Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)


  1. jusched.exe kann nicht ausgeführt werden xpcom.dll fehlt....
    Plagegeister aller Art und deren Bekämpfung - 29.10.2012 (10)
  2. Fehlermeldung von jusched.exe: xpcom.dll fehlt
    Plagegeister aller Art und deren Bekämpfung - 08.10.2012 (1)
  3. jusched.exe - systemfehler (Internet Browser stürzen ab)
    Plagegeister aller Art und deren Bekämpfung - 20.09.2012 (17)
  4. jusched.exe <fehlermeldung und Browser stürzen ab
    Log-Analyse und Auswertung - 27.08.2012 (2)
  5. jusched.exe <fehlermeldung und Browser stürzen ab
    Plagegeister aller Art und deren Bekämpfung - 14.05.2012 (19)
  6. Problem laptop ist sehr langsam !!!
    Plagegeister aller Art und deren Bekämpfung - 30.11.2011 (3)
  7. Computer Problem sehr sehr langsam
    Plagegeister aller Art und deren Bekämpfung - 27.04.2011 (7)
  8. jucheck.exe,jusched.exe,Kaspersky Fehlermeldung nach Neuinstallation
    Plagegeister aller Art und deren Bekämpfung - 10.12.2010 (9)
  9. Sehr mysteriöses upload Problem (hartnäckig!)
    Netzwerk und Hardware - 03.09.2010 (1)
  10. Problem mit Notebook: Stellenweise sehr langsam!
    Log-Analyse und Auswertung - 17.11.2009 (0)
  11. "hat ein Probl. festgestellt u. muss beendet werden" JUSCHED, NERO, WS FTP, etc.
    Log-Analyse und Auswertung - 21.09.2009 (15)
  12. jusched.exe Fehlermeldung
    Log-Analyse und Auswertung - 14.03.2009 (24)
  13. Sehr großes Problem!
    Log-Analyse und Auswertung - 01.02.2009 (19)
  14. Sehr seltsames Problem mit IE 6.0
    Alles rund um Windows - 13.09.2007 (2)
  15. Sehr großes Problem
    Log-Analyse und Auswertung - 15.12.2005 (1)
  16. Sehr seltsames Problem bei Modemverbindung
    Plagegeister aller Art und deren Bekämpfung - 06.05.2005 (1)
  17. TBPS.exe PIB.exe alg.exe jusched.exe mediapass.exe
    Plagegeister aller Art und deren Bekämpfung - 06.04.2005 (3)

Zum Thema Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) - Guten Abend, nachdem ich gestern etwas unbedacht eine Datei geöffnet habe, welche ich nicht hätte öffnen sollen haben sich einige Störenfriede bei mir eingenistet, die mich gerade ein wenig verzweifeln - Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.)...
Archiv
Du betrachtest: Problem mit sehr resistenten Störenfrieden (b.exe, msa.exe, jusched.exe, etc.) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.