virus msetus.exe, msecu.exe und nzlrs.exe ???

[sweety0815]

hallo zusammen,
ich hoffe mir kann jemand weiterhelfen.
Vermutlich habe ich mir einen virus eingefangen. bin ich im internet, öffnet sich ein fenster, das msecu.exe nicht extrahiert werden kann. ich habe dann diese programme löschen wollen, was aber bei nzlrs.exe nicht geht. die anderen sind im papierkorb, aber dort kann ich sie nicht löschen?!
außerdem öffnet sich jedesmal der inet-explorer und will eine drivecleaner installieren... was ich aber nicht will.

habe das mit dem hijackthis gemacht und habe folgendes in der reportdatei stehen:

Logfile of HijackThis v1.99.1
Scan saved at 18:54:30, on 07.06.2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\VTTimer.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svshost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip8.0\winzip32.exe
C:\unzipped\hijackthis_199\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] $$
O4 - HKLM\..\Run: [avgnt] $$
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\System32\Isass.exe
O4 - HKLM\..\Run: [Windows Logon Application] $$
O4 - HKLM\..\Run: [Windows Update Firewall System] $$
O4 - HKLM\..\Run: [Services] $$
O4 - HKLM\..\Run: [Windows Config System] $$
O4 - HKLM\..\Run: [Application Layer Gateway Service] $$
O4 - HKLM\..\Run: [Advanced DHTML Enable] $$
O4 - HKLM\..\Run: [Spooler SubSystem App] $$
O4 - HKLM\..\Run: [,realset] $$
O4 - HKLM\..\Run: [winmsfws.exe] $$
O4 - HKLM\..\Run: [config.exe] $$
O4 - HKLM\..\Run: [setup] $$
O4 - HKLM\..\Run: [$$] $$
O4 - HKLM\..\Run: [Microsoft® Windows® Updating System] $$
O4 - HKLM\..\Run: [Windows Network Firewall] $$
O4 - HKLM\..\Run: [msresource.exe] $$
O4 - HKLM\..\Run: [Microsoft Internet Explorer] $$
O4 - HKLM\..\Run: [Winamp Agent] $$
O4 - HKLM\..\Run: [j5281932] rundll32 C:\WINNT\System32\j5281932.dll sook
O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfws.exe
O4 - HKLM\..\RunServices: [Microsoft® Windows® Updating System] msresource.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft® Windows® Updating System] msresource.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1179059996252
O20 - AppInit_DLLs: c:\winnt\system32\urstqpp.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Alternative User Input Services (Ctfmon) - Unknown owner - C:\WINNT\ctfmon.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: Copyright (C) 2001-2005 S3 Graphics, Inc. (S3 Graphics, Inc.) - Unknown owner - C:\WINNT\VTTimer.exe
O23 - Service: Windows Utility Process - Unknown owner - C:\WINNT\system32\svshost.exe

ich hoffe mir kann jemand helfen ... ich weiß nicht was ich machen soll.

danke + grüße,
sweety0815

 

[Mike]

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\VTTimer.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svshost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip8.0\winzip32.exe
C:\unzipped\hijackthis_199\HijackThis.exe

Boah, total ver-virt da ist einiges drauf

Du kannst versuchen dir ROTEN Einträge zu fixen und schauen ob danach wieder alles normal geht.

 

[sweety0815]

danke für deine antwort.
aber kannst du mir bitte noch sagen wie ich das mache?
kenn mich da absolut nicht aus ...
danke!

 

[Mike]

aber kannst du mir bitte noch sagen wie ich das mache?
kenn mich da absolut nicht aus ...

a) du hast beim HJT einen Button dabei zum FIXEN von Problemen. Also in die richtigen Zeilen den Haken reinmachen und FIXEN klicken.

b) anschließend solltest du mit einem guten Virenprogramm den Rechner komplett scannen.

 

[Fireblade]

Habs noch mal geknipst,dann kann er besser vergleichen.
Sieht echt ziemlich übel aus.

 

[buma]

Bei sovielen Viren und gelben Fragezeichen würde ich gleich System neuaufsetzen

Und dann einen aktuellen Virenscanner runterladen und auf "Datenbanken automatisch runterladen" stellen

 

[Digit]

Boah, total ver-virt da ist einiges drauf

Du kannst versuchen dir ROTEN Einträge zu fixen und schauen ob danach wieder alles normal geht.

Nicht alles muss schädlich sein, wohl aber einiges doch !

Man kann hier sehr gut vergleichen:

http://www.castlecops.com/StartupList.html
http://www.wintotal.de/Spyware/index.php

Die autom. HiJackThis-Kontrolle reicht nicht.

Ich würde formatieren und alle Passwörter wechseln.

 

[Mike]

Nicht alles muss schädlich sein, wohl aber einiges doch !
....
Ich würde formatieren und alle Passwörter wechseln.

Nett umschrieben .... wieso empfiehlst du dann formatieren ?

Er hat sich ausgerechnet ein paar ganz blöde eingefangen, die kann man aber auch ohne Formatieren noch bereinigen

 

[Digit]

Nett umschrieben .... wieso empfiehlst du dann formatieren ?

Er hat sich ausgerechnet ein paar ganz blöde eingefangen, die kann man aber auch ohne Formatieren noch bereinigen

Hallo MikeK,

gib mal die diese exe Dateien in die von mir genannten Links ein.
Nach dem Löschen solcher Malware ist das System nicht mehr vertrauenswürdig.
Reste können übrig bleiben und Schädlinge nachladen und und...

C:\WINNT\System32\mgabg.exe
C:\WINNT\System32\internat.exe

müssen keine Schädlinge sein.

 

[Prometheus]

Unbedingt aufpassen:

lsass.exe mit kleinem L ist nicht schändlich, jedoch Isass.exe. mit einem großen i vorneweg. Letzteres ist der Sasser-Virus.

svshost nicht mit svchost verwechseln. Letzteres ist ein gängiger Systemprozess. Erstere der Virus P2P.Spybot.gen !!

internat.exe ist noch genauer zu identifizieren. Im Ordner system32 ist dieser ein Systemprozess. Befindet sich dieses file in einem anderen Ordner ist es ein Virus.

Folglich: nicht gleiche alle files fixen. Erst noch genauer betrachten.

Aber die Online-Auswertung von Hijackthis scheint dies sehr gut zu erkennen.



Habe selber eine Auswertung gemacht. Die Einträge in folgendem Auszug sind aber widersprüchlich!?

 

[Digit]

@Prometheus

ALCMTR.EXE soll zur Realtek gehören und evtl. Spyware sein.

So was muss nicht mitstarten, die Datei könnte man auch mal bei Jotti etc. prüfen lassen - muss vorher aber beendet sein.

PS. wenn ich gelegentlich mal einen JavaScriptvirus o.ä. entdecke, formatiere ich nicht.
Bei einem Backdoor mit/ohne Rootkitfunktion, dann schon.
(Bzw. Backup)

 

[buma]

Habe selber eine Auswertung gemacht. Die Einträge in folgendem Auszug sind aber widersprüchlich!?

I-wie schon

Er hat sich ausgerechnet ein paar ganz blöde eingefangen, die kann man aber auch ohne Formatieren noch bereinigen

Da stellt sich aber die Frage ob die wircklich "gefixt" werden. I-welche Überreste bleiben immer zurück

 

[Fireblade]

Da stellt sich aber die Frage ob die wircklich "gefixt" werden. I-welche Überreste bleiben immer zurück

Fixe die bösen Einträge,fahre den Pc runter..dann erstell noch mal ein neues HJT Logfile und schau was dann ist.
Anschließend einen Virenscanner drüberlaufen lassen.

 

[buma]

Fixe die bösen Einträge,fahre den Pc runter..dann erstell noch mal ein neues HJT Logfile und schau was dann ist.
Anschließend einen Virenscanner drüberlaufen lassen.

Wenn alles so einfach wäre..

 

[Petra123]

Hallo Sweety0815,

es gibt Foren mit Experten auf dem Gebiet der Virenentsorgung:
http://www.trojaner-board.de/ oder http://www.hijackthis-forum.de/

Edit: Hier ein ähnlicher Fall:
http://www.hijackthis-forum.de/showthread.php?t=23269&highlight=msetus.exe

 

[exciter101]

internat.exe ist im richtigen Ordner --> kein Virus
lsass.exe --> kein Virus
mgabg.exe gehört zu Matrox Grafikkarten --> kein Virus
svshost.exe ist ein Virus --> http://www.sophos.de/security/analyses/w32rbotafo.html
Ganz wichtig --> Service Pack 4 installieren

 

[Phraser]

ALCMTR.EXE soll zur Realtek gehören und evtl. Spyware sein.

Dieser Prozess hab ich auch noch am laufen, wobei ich sagen muss das ich Sicherheitstechnisch keine Probleme hab mit GData IS 07 (was natürlich keine 100%ige Versicherung ist)

Aber komischerweise bring ich den letzten auch nicht weg...

 

[naubi]

nabend....
meine alte festplatte ist durchgebrannt und da hab ich mir ne neue eholt...
war eine min im netz um avira und so zu loaden^^ und schon hab ich mir unzählige viren eingefangen >.< ich habe gehofft ,dass ihr mir hilft siezu beseitigen...thx im voraus ^.^ :


Logfile of HijackThis v1.99.1
Scan saved at 22:35:47, on 20.06.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\aspimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svshost.exe
c:\msetus.exe
c:\bsys5.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] $$
O4 - HKLM\..\Run: [Spooler SubSystem App] $$
O4 - HKLM\..\Run: [SMSERIAL] $$
O4 - HKLM\..\Run: [NvCplDaemon] $$
O4 - HKLM\..\Run: [nwiz] $$
O4 - HKLM\..\Run: [NvMediaCenter] $$
O4 - HKLM\..\Run: [sm56hlpr.exe] $$
O4 - HKLM\..\Run: [$$] $$
O4 - HKLM\..\Run: [WinAntiSpyware 2006 Free] $$
O4 - HKLM\..\Run: [DC6_Check] $$
O4 - HKLM\..\Run: [ERS_Check] $$
O4 - HKLM\..\Run: [uwas6cw] $$
O4 - HKLM\..\Run: [WMDM PMSP Service] $$
O4 - HKCU\..\Run: [CTFMON.EXE] $$
O4 - HKCU\..\Run: [MsnMsgr] $$
O4 - HKCU\..\Run: [ICQ] $$
O4 - HKCU\..\Run: [ silent] $$
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\System32\aspimgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Time Pluger - Unknown owner - C:\WINDOWS\system32\svshost.exe


bitte alles melden was ihr entdeeckt

 

[Digit]

Gleich nach der Installation von XP brauchst du SP2 mit integrierter Firewall.
Vielleicht kann dir das ein Kollege herunterladen und auf CD brennen.
Anschließend erst ins Netz gehen und alle Windowsupdates nachladen.

http://download.winboard.org/details.php?file=489

Lese dir das auch mal durch:

http://www.trojaner-board.de/12154-...s-systems-und-anschliessende-absicherung.html

 

[naubi]

Ich weiß welche programme die trojaner beinhalten... aber das bring mir nichts...
löschen hilft net avira macht auch nichts außer spamen >.<(eigt das schilmmste an den viren XD) und spybot....naja ich weiß net ob er die ls viren empfindet XD