Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.12.2009, 12:49   #1
Cupido
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



Hallo zusammen!
Gestern Abend hat mich meine Firewall (ZoneAlarm) auf die Programme msb.exe und c.exe aufmerksam gemacht, dass diese auf das Internet zugreifen wollen. Da ich gerade ein Programm runtergeladen habe und dachte, dies gehört zum Programm, ließ ich es zunächst zu. Die Meldung für msb.exe und c.exe kam dann aber häufiger, ich ließ sie nicht mehr zu und ich machte mich im Internet schlau, was das sein könnte. Trojaner! Blöd!
1. Ich spielte gleich ein paar empfohlene Programme wie PrevX und Spyware doctor auf und ließ sie laufen. Beide haben etwas gefunden, ich konnte mit der freeware version jedoch nur einen Teil löschen. 2. Mit HijackThis habe ich ebenfalls 15 Dateien entfernen können, nur eine habe ich nicht gefunden (msa.exe), diese war aber beim erneuten Scan mit HijackThis nicht mehr da. 3. AdAware und asquared fanden auch einige Infektionen, und haben bis auf einige wenige Files alles entfernen können. Diese übriggebliebenen habe ich dann manuell gelöscht. 4. Mit CCleaner gereinigt und die Registry nach Fehlern untersucht. Alle Fehler konnten behoben werden, bis auf zwei:
Registry Schlüssel: HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} und
Registry Schlüssel: HKCR\ZAMailSafe\DefaultIcon (Ich denke, dass ist wohl von ZoneAlarm)
5. Dann nochmal HijackThis drüberlaufen gelassen, und keine weiterer Fund. Auch PrevX und AdAware hat nichts mehr gefunden. Nur Spyware Doctor hat noch 4 Objekte gefunden. Darunter einen Trojan.FakeAlert mit mittlerem Risiko. Löschen könnte ich ihn nur mit der Kaufversion?!
Ich bin nicht besonders gut in Software-Dingen und trau mich auch nicht daran, irgendwelche Prozesse zu beenden oder Dinge aus der Bibliothek oder Registry zu löschen, wie es in einigen Foren beschrieben ist. Momentan lass ich Malwarebytes laufen und das Programm hat bis jetzt schon 7 Infizierte Objekte gefunden!
Kann mir irgendjemand bitte helfen? Wie werde ich das den Trojaner wieder los?
Den Rechner Neuaufsetzen kann ich leider auch nicht, da ich das Betriebssystem nicht auf DVD/CD habe, es war vorinstalliert!

Vielen Dank im Voraus und Beste Grüße

Michael

Alt 02.12.2009, 13:06   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



Hallo und

Um das System nicht weiter zu verhunzen: Deinstalliere bitte alle nachträglich installierten Virenscanner (PrevX, Spyware Doctor uws.) sowie ZoneAlarm, schalte die Windows-Firewall ein!

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 02.12.2009, 13:27   #3
Cupido
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



Ok, hab jetzt alle nachträglichen Programme und Zonealarm deinstalliert und die Windows-Firewall eingeschaltet. Soll ich die Programme, bei denen ich nachträglich ein Update gemacht habe auch deinstallieren? Malwarebytes läuft noch (schon seit 1,25h)! Mit welchen Programm zippe ich Dateien am betsen, hab hierfür ncoh keines!

danke und gruß
__________________

Alt 02.12.2009, 13:28   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



Nee, also Malwarebytes brauchen wir ja noch, damit sollst Du ja ein Log erstellen, das bitte lassen.
Zippen kannst Du wunderbar mit WinRAR (shareware) oder 7Zip (Freeware)
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 02.12.2009, 13:49   #5
Cupido
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



OK.
Malwarebytes läuft noch immer! kann sich nur noch um Stunden handeln!
Anschließend werde ich dann RSIT starten und alle Logfiles in einen Ordner packe, den zippen und hochladen. Hoffentlich klappt das alles!


Alt 02.12.2009, 14:25   #6
Cupido
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



So, MalwareBytes und RSIT sind durch.
Hier der Link für die ZIP.Datei: w*w.file-upload.net/download-2051590/Logfiles.7z.html

dank dir echt vielmals für deine Hilfe

Alt 02.12.2009, 18:27   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



Code:
ATTFilter
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{EE5D279F-081B-4404-994D-C6B60AAEBA6D} - EPSON Web-To-Page - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar mit Pop-Up-Blocker - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2005-08-04 343112]
{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - Winamp Toolbar - C:\Programme\Winamp Toolbar\winamptb.dll [2009-02-19 1262888]
{3041d03e-fd4b-44e0-b742-2d9b88305f98} - Ask Toolbar - C:\Programme\AskBarDis\bar\bin\askBar.dll [2008-08-26 279944]
         
Du solltest auf die ganzen Toolbars verzichten - völlig unnötiger Ballast!

Code:
ATTFilter
C:\WINDOWS\system32\drivers\archlp.sys
         
Lad diese Datei mal bitte auf virustotal.com hoch und poste den Ergebnislink.

Ansonsten sehen die Logfiles ok aus. Gibts noch Meldungen oder Probleme? Wenn nicht, bitte unbedingt Updates prüfen!!!

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. um den IE8, auch wenn Du ihn nicht nutzt.

Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.12.2009, 00:12   #8
Cupido
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



Vielen vielen Dank!
Als ich die Datei hochgeladen hab, kam folgendes ergebnis: 0 bytes size received / Se ha recibido un archivo vacio
Weiß nicht wirklich,was das heissen soll!
Werd die anderen Sachen alle aktualisieren und hoffe, dass es das dann war!

beste Grüße

Alt 03.12.2009, 07:32   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\drivers\archlp.sys

drivers to delete:
archlp
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.12.2009, 11:30   #10
Cupido
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



Hallo Cosinus,

musste heute morgen in die Uni, daher die späte Antwort. Wie deaktiviere ich denn den Hintergrundwächter von Antivir?
Stell mich echt ein bisschen an!

Gruß

Alt 03.12.2009, 11:48   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



Du hast ein Regenschirm bei der Windows-Uhr. Rechtsklick => Hintergrundwächter deaktivieren (sinngemäß) - wenn der Regenschirm geschlossen ist, ist es ok.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.12.2009, 11:58   #12
Cupido
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\drivers\archlp.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\archlp.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "archlp" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 03.12.2009, 12:05   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



Zeit für Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.12.2009, 12:24   #14
Cupido
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



Konnte aller Fehler beheben, ausser
Registry Schlüssel: HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

soll ich combofix trotzdem starten?

Alt 03.12.2009, 12:27   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Standard

Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen



Ja, cofi bitte starten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen
beenden, blöd, c.exe, ccleaner, dateien, entfernen, fehler, firewall, foren, gereinigt, hijack, hijackthis, icon, infizierte, internet, malwarebytes, msa.exe, nicht gefunden, nicht mehr, programme, prozesse, rechner, registry, scan, spyware, spyware doctor, tan, trojan.fakealert, trojaner, virus, {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}



Ähnliche Themen: Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen


  1. US-Firmen wollen Datenschutz im Internet der Dinge stärken
    Nachrichten - 13.08.2015 (0)
  2. Trojan.Dropper & Trojan.FakeAlert & Trojan.Downloader
    Plagegeister aller Art und deren Bekämpfung - 14.10.2012 (17)
  3. Trojan.Phex.THAGen6, RootKit.0Access, Trojan.FakeAlert
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (29)
  4. Firewall meldet obskure Anwendungen, die Zugang zum Internet wollen
    Log-Analyse und Auswertung - 14.08.2012 (15)
  5. wpbt0.dll will aufs Internet zugreifen
    Log-Analyse und Auswertung - 22.06.2012 (1)
  6. Trojan.FakeAlert in Registry gefunden
    Log-Analyse und Auswertung - 18.10.2011 (1)
  7. Wie entferne ich Trojan.Banker, Trojan.FakeAlert? C ist (angeblich) leer
    Log-Analyse und Auswertung - 10.10.2011 (5)
  8. FakeAlert! gbr Trojan!
    Plagegeister aller Art und deren Bekämpfung - 10.06.2011 (1)
  9. Fakealert-REP Trojan
    Log-Analyse und Auswertung - 05.06.2011 (36)
  10. Per Internet auf meine Drucker zugreifen
    Alles rund um Windows - 19.09.2010 (5)
  11. Malewarebytes meldet 2 verschiedene Trojaner (Trojan.Downloader und Trojan.FakeAlert)
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (0)
  12. Programme wollen auf unsichere Internetseite zugreifen
    Plagegeister aller Art und deren Bekämpfung - 25.07.2010 (17)
  13. Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11
    Plagegeister aller Art und deren Bekämpfung - 19.06.2010 (11)
  14. iebho.dll (Trojan.FakeAlert, Trojan.BHO.H) lassen sich nicht entfernen
    Log-Analyse und Auswertung - 06.03.2010 (17)
  15. Csrss.exe will beim Systemstart auf das Internet zugreifen ??
    Mülltonne - 24.12.2008 (0)
  16. ***.tmp.exe Datein wollen auf´s I-Net zugreifen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2007 (3)
  17. *.exe Dateien wollen ins Internet
    Plagegeister aller Art und deren Bekämpfung - 05.09.2004 (13)

Zum Thema Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen - Hallo zusammen! Gestern Abend hat mich meine Firewall (ZoneAlarm) auf die Programme msb.exe und c.exe aufmerksam gemacht, dass diese auf das Internet zugreifen wollen. Da ich gerade ein Programm runtergeladen - Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen...
Archiv
Du betrachtest: Trojan.FakeAlert gefunden! msa.exe und c.exe wollen auf das Internet zugreifen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.