msa.exe c.exe und b.exe
 

Ich fange den Post mal mit folgender Aussage an: Ich bin dumm.
Anders kann ich mir nicht erklären was ich eben fabriziert habe.
Ich habe eine Datei aus zweifelhafter Quelle gedownloadet und auf VirusTotal hochgeladen um zu gucken ob es ein Virus is. Bei einem Ergebnis von 3/40 habe ich mir gedacht "Die drei werden sich schon irren". Hab die Datei dann ausgeführt voraufhin die CPU auslastung kurz auf 100% war und die Datei verschwunden ist. Das war der Moment wo ich gemerkt habe, dass das grade ne blöde Aktion war.
Ich hab mich dann also auf die Suche nach verdächtigen Datein gemacht. Hab dann auch recht schnell drei Verdächtigen auf meinem recht frisch aufgelegten Windows 7 64bit gefunden. Im Ordner "Temp" befinden sich b.exe und c.exe . Beide auf VirusTotal hochgeladen und wieder nicht mehr als 3 Treffer. Währenddessen öffnet sich der InternetExplorer (den ich nie benutze) mit Werbung. Langsam bekam ich da schon ein ungutes Gefühl. Die c.exe hab ich dann jedenfalls gelöscht weil im Internet ausdrücklich stand, das sie nicht von Windows benötigt wird. Zur b.exe hab ich noch nicht wirklich viel gefunden. Eben grade ist mir auch noch die a.exe aufgefallen (5/40). Als Änderungsdatum war als Zeit exakt die Uhrzeit eingetragen in der ich die Datei ausgeführt habe. Auf die c.exe bin ich übrigens gekommen weil kurz nach dem ausführen eine Fehlermeldung kam das der Prozess c.exe beendet werden muss. Dann hat sich Antivir auf einmal gemeldet das die Datei *langeKetteVonBuchstabenUndZahlen* die signatur von *xyz* (ich hätts aufschreiben sollen ...) enthält. Ich klicke auf Zugriff verweigern. Ein paar sekunden später nochmal das gleiche. Danach öffnet sich der Acrobat Reader und gibt mir ne Fehlermeldung, dass das Dokument nicht geöffnet werden kann. Im Task Manager fiel mir dann die msa.exe auf, die im Ordner Windows steckt, im 32bit Modus ausgeführt wird (!) und als Erstellungsdatum die selbe Zeit wie c.exe und co hat (!!). Sehr verdächtig. Scannen bei VirusTotal ergab wieder nur 3 Treffer. Hab dann den Prozess erstmal beendet, woraufhin er sich von selbst wieder gestartet hat. Nach erneutem schliessen bleibt er jetzt alerdings auch zu.
Was meint ihr wie ich weiter vorgehen soll? Einfach die exen alle löschen?

Hallo und Herzlich Willkommen! :)

Was und woher genau? Kein Link bitte, nur Beschreibung!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:
- Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
- Lade dir RSIT - http://filepony.de/download-rsit/:
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

2.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

Also erstmal wünsche ich allen ein möglichst Viren- und Trojanerfreies neues Jahr!

Zu deiner Frage:
Ich habe das Programm Guitar Pro 5. Inzwischen gibt es zwei updates auf Version 5.2 . Diese werden normalerweise über die Programminterne Updatefunktion installiert. Diese Funktion funktioniert bei mir jedoch nicht, weshalb ich mich dann über Google auf die Suche nach einem Patch gemacht habe. Dort bin ich dann auf Downloadseiten gestossen die ich noch nicht kannte. Von welcher genau ich mir die Datei runtergeladen hab weiß ich nicht mehr. Der vermeintliche Patch (exe-datei) war 8Mb groß was für ein Patch ja durchaus normal ist. Der Rest der Geschichte ist bekannt ...
Keine der im ersten Post aufgeführten verdächtigen Dateien hat sich übrigens nach dem Systemstart ausgeführt.
Das mit den Programmen mache ich dann nach dem Skispringen, dann dürfte auch der Restalkohol verschwunden sein (was für eine Nacht:crazy: ).
Hoffe mal die sind kompatibel mit Win7 64bit.

Hab das jetzt gemacht und die txt-Dateien angehängt. Diese rsit.exe musste ich im WinXP Kompatibilitätsmodus ausführen. Hoffe das führt nicht zu Problemen in der Auswertung.

hi

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

2.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Alles gemacht wie befohlen.

hi

1.
Temp Ordner leeren:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst

2.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

3.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

4.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

Beide haben nichts gefunden.

hi

** Hast du jetzt noch irgendwelche Probleme?

Nein, mometan ist wieder alles gut.
Also danke für die ausfürliche Hilfe!!! :applaus:

hi

- Systemwiederherstellung deaktivieren: Windows 7 - einen manuellen Systemwiederherstellungspunkt erstellen
also zuerst deaktivieren-> dann aktivieren - am Ende soll wieder aktiviert sein!


- Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus

- Lesestoff:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* [/url] - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 2-3 Monate ändern)
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com

wünsch Dir alles Gute:)