msvcrt.exe ? Zuordnung ??

#1 Ich hasse Programmierer die Virenprogramme schreiben!!!

Ich hatte folgende Programme auf meinem Rechner:
msasvc.exe und msvcrt.exe!

Liesen sich erst nicht löschen, erst nach umbenennung konnten
diese Drecksdinger gelöscht werden. Diese Programme standen
auch bis zu 10! Mal in meinem Task-Manager.

Dachte das Problem wäre gelöst. Weit gefehlt:
Klicke ich jetzt auf irgend eine Verknüpfung auf meinem Desktop,
fragt mich Windows, mit welchem Programm ich das den öffnen will??
Und das gilt auch für msconfig, regedit ect....


Ich verzweifel bald, aber ich werde nicht formatieren!!!
Eventuell kann mir jemand weiter helfen ???

Hier aktuelles Log-File von Hijack-This:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AVAST\aswUpdSv.exe
D:\AVAST\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
D:\AVAST\ashMaiSv.exe
D:\AVAST\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\uWDF.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\user\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numal-tech.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] "D:\AVAST\ashDisp.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Spamihilator] "D:\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [WinMedia] C:\DOKUME~1\user\LOKALE~1\Temp\34263609.exe
O4 - Startup: T-DSL Manager.lnk = D:\T-DSL\DslMgr.exe
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WB - D:\Programme\AlienGUIse\fastload.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\AVAST\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\AVAST\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\AVAST\ashWebSv.exe" /service (file missing)
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - D:\T-DSL\DslMgrSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

#2 NuMaL

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

_____________________________________________________________

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Microsoft authenticate service

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#3 datfind.bat:

Verzeichnis von C:\WINDOWS\system32
14.01.2007 19:04 63.076 GlyphInfo.bin
14.01.2007 19:04 176.260 FontInfo.bin
14.01.2007 18:30 13.646 wpa.dbl
12.01.2007 08:40 0 ksl48.bin
12.01.2007 08:39 6.864 scsipsrvc.sys
09.01.2007 09:21 11.270 KGyGaAvL.sys
27.12.2006 11:40 3.076 config.nt
18.11.2006 11:56 391.184 FNTCACHE.DAT
16.11.2006 21:12 51.782 cszbt.exe
12.11.2006 22:20 262.148 zelda.log
29.10.2006 08:24 413.030 perfh009.dat
29.10.2006 08:24 426.448 perfh007.dat
29.10.2006 08:24 66.784 perfc009.dat
29.10.2006 08:24 78.942 perfc007.dat
29.10.2006 08:24 998.470 PerfStringBackup.INI
09.10.2006 19:29 10.319 sxfms10.dll

Verzeichnis von C:\DOKUME~1\user\LOKALE~1\Temp
14.01.2007 19:05 2.796 ~WRD0000.doc
14.01.2007 19:05 512 ~DFEEA2.tmp
14.01.2007 18:13 0 DSPE.tmp
14.01.2007 18:12 0 DSPC.tmp
14.01.2007 16:40 893 TWAIN.LOG
14.01.2007 16:40 2 Twain001.Mtx
14.01.2007 16:40 156 Twunk001.MTX
14.01.2007 16:40 0 Twunk002.MTX
14.01.2007 16:40 112 wecerr.txt
11.01.2007 22:34 21 FCCADD4F.TMP

Verzeichnis von C:\WINDOWS
14.01.2007 19:04 39.795 setupapi.log
14.01.2007 19:04 0 0.log
14.01.2007 19:04 50 wiaservc.log
14.01.2007 19:04 471 wiadebug.log
14.01.2007 19:03 2.048 bootstat.dat
14.01.2007 19:01 79.331 WindowsUpdate.log
14.01.2007 19:00 125.716 ntbtlog.txt
14.01.2007 18:39 32.568 SchedLgU.Txt
14.01.2007 18:32 443 WINNT32.LOG
14.01.2007 18:32 675 DHCPUPG.LOG
14.01.2007 17:54 998 IE4 Error Log.txt
14.01.2007 15:23 327 system.ini
14.01.2007 15:23 1.853 win.ini
13.01.2007 15:53 1.125 winamp.ini
11.01.2007 11:26 2.619 3.EXE
09.01.2007 23:00 1.409 QTFont.for
09.01.2007 23:00 54.156 QTFont.qfn
08.01.2007 09:03 1.946 wmsetup.log
06.01.2007 19:52 30.003 userinit.exe
06.01.2007 19:52 5.892 ¥ãFM×N.EXE
02.01.2007 14:44 3.584 oxnkpu.exe
02.01.2007 11:06 116 NeroDigital.ini
30.12.2006 15:55 43 iltwain.ini
26.11.2006 19:52 72 PEX.INI
23.11.2006 15:59 2.671 u3dedit3.INI
23.11.2006 15:59 478 ULead32.ini
18.11.2006 08:49 994 DirectX.log
15.08.2006 15:10 994 eReg.dat
24.07.2006 22:45 99.970 UninstallFirefox.exe
24.07.2006 22:45 7.493 mozver.dat
19.06.2006 08:11 3.196 tm.ini
01.06.2006 09:06 124 tdf.dii
04.04.2006 18:20 73.216 cadkasdeinst01.exe
26.02.2006 15:45 16 Wininit.ini
05.02.2006 02:01 52 wb.ini
11.12.2005 15:19 316.640 WMSysPr9.prx
29.09.2005 20:05 1.321 ODBC.INI


Verzeichnis von C:\WINDOWS\Temp
14.01.2007 19:04 16.384 Perflib_Perfdata_7e8.dat
14.01.2007 15:44 16.384 Perflib_Perfdata_334.dat
14.01.2007 15:23 16.384 Perflib_Perfdata_15c.dat
14.01.2007 15:16 16.384 Perflib_Perfdata_430.dat
02.01.2007 08:01 16.384 Perflib_Perfdata_66c.dat
23.11.2006 11:25 16.384 Perflib_Perfdata_5b4.dat
18.11.2006 14:03 298 MSI78284.LOG
18.11.2006 14:03 298 MSI78283.LOG
18.11.2006 14:03 298 MSI78282.LOG
18.11.2006 14:02 298 MSI78281.LOG
18.11.2006 14:02 298 MSI78280.LOG
18.11.2006 14:02 298 MSI7827f.LOG
18.11.2006 14:02 298 MSI7827e.LOG
11.11.2006 09:14 16.384 Perflib_Perfdata_5b0.dat

Verzeichnis von C:\WINDOWS\Downloaded Program Files
20.12.2006 01:00 323.242 tcscan8.dat
20.12.2006 01:00 32 virscant.dat
20.12.2006 01:00 2.504 catalog.dat
20.12.2006 01:00 3.940.959 virscan9.dat
20.12.2006 01:00 1.650.979 virscan8.dat
20.12.2006 01:00 5.396.298 virscan7.dat
20.12.2006 01:00 6.899 ecbootil.vxd
20.12.2006 01:00 390.030 virscan6.dat
20.12.2006 01:00 272.040 ecmsvr32.dll
20.12.2006 01:00 3.086.703 virscan5.dat
20.12.2006 01:00 320.186 virscan4.dat
20.12.2006 01:00 147.296 virscan3.dat
20.12.2006 01:00 569.910 virscan2.dat
20.12.2006 01:00 124.584 naveng32.dll
20.12.2006 01:00 882.344 navex32a.dll
20.12.2006 01:00 97.696 scrauth.dat
20.12.2006 01:00 974.242 virscan1.dat
20.12.2006 01:00 9.237 symaveng.cat
20.12.2006 01:00 1.061 symaveng.inf
20.12.2006 01:00 187.543 tcdefs.dat
20.12.2006 01:00 1.172.076 tcscan7.dat
20.12.2006 01:00 224 zdone.dat
20.12.2006 01:00 728.804 tcscan9.dat
20.12.2006 01:00 453 tinf.dat
20.12.2006 01:00 148 tinfidx.dat
20.12.2006 01:00 1.957 tinfl.dat
20.12.2006 01:00 64.048 tscan1.dat
20.12.2006 01:00 3.072 tscan1hd.dat
20.12.2006 01:00 4.778 v.grd
20.12.2006 01:00 2.261 v.sig
20.12.2006 01:00 106.244 virscan.inf
09.11.2006 14:36 5.019 swflash.inf
17.05.2006 14:32 198.304 avsniffdlgs.dll
17.05.2006 14:28 201.896 navapi32.dll
17.05.2006 14:28 6.850 navapi.vxd


Verzeichnis von C:\
14.01.2007 19:18 0 sys.txt
14.01.2007 19:18 2.329 down.txt
14.01.2007 19:18 1.011 tmp.txt
14.01.2007 19:17 5.749 system.txt
14.01.2007 19:17 728 systemtemp.txt
14.01.2007 19:16 116.865 system32.txt
14.01.2007 19:03 805.306.368 pagefile.sys
14.01.2007 15:23 210 boot.ini
12.01.2007 12:47 146 YServer.txt
06.01.2007 19:52 51.325 system.exe
20.09.2006 16:49 304.907 adorage-protocol.txt
24.07.2005 15:18 1.153 _Sid.txt

#4 weiter klicken ...es sind 6 logs
__________
MfG Sabina

rund um die PC-Sicherheit

#5 habs schon gesehen ;-)

ach und noch was:

öffne ich jetzt die Systemsteuerung und wähle
z.B. Software aus, erscheint die Fehlermeldung:

C:/Windows/System32/rundll.32.exe nicht gefunden.

Dazu sei aber gesagt: Die Datei ist vorhanden! *am Kopf kratz*

Ich hoffe die kann man wieder herstellen ?

#6 ««
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Microsoft authenticate service

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

scsipsrvc.sys

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

««
http://virus-protect.org/artikel/tools/gmer.html
nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, wähle Copy und füge den Bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Beide Tools laufen nicht und erzeugen
nur Fehlermeldungen

Registry Search:
Active X kann kein Objekt erstellen
Laufzeitfehler

Gmer:
LoadLibrary: gmer.dll: das Modul wurde nicht gefunden

#8 http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
poste das log

--------------------------------------------------------------
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

Microsoft authenticate service

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#9 blacklight
01/14/07 22:24:21 [Info]: BlackLight Engine 1.0.55 initialized
01/14/07 22:24:21 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/14/07 22:24:21 [Note]: 7019 4
01/14/07 22:24:21 [Note]: 7005 0
01/14/07 22:24:23 [Note]: 7006 0
01/14/07 22:24:23 [Note]: 7011 2812
01/14/07 22:24:23 [Note]: 7026 0
01/14/07 22:24:23 [Note]: 7026 0
01/14/07 22:24:31 [Note]: FSRAW library version 1.7.1021
01/14/07 22:26:42 [Note]: 2000 1012
01/14/07 22:26:42 [Note]: 2000 1012
01/14/07 22:26:42 [Note]: 2000 1012
01/14/07 22:27:31 [Note]: 7007 0

Registry Search Tool funktioniert bei mir nicht

#10 Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

Microsoft authenticate service

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Jedes Mal die gleiche Meldung:

Zeile: 27
Zeichen: 1
Fehler: ActiveX component can`t create object
Code: 800A01AD
Quelle: Microsoft VBScript runtime error

Das Tool funktioniert nicht. Egal was ich mache. Hängt vielleicht mit dem
Problem, dass ich weiter oben schon beschrieben habe, zusammen:

rundll.fehlt.
Wenn ich ein Icon oder eine Verknüpfung anklicke,
fragt Windows immer, welches Programm dafür verwendet werden soll.


TASK-Manager / Prozesse:
6x svchost.exe
erscheint mir ein bischen viel ??

#12 NuMaL

1.
um zusehen, welche virenscanner das erkennen/loeschen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\sxfms10.dll
C:\WINDOWS\system32\scsipsrvc.sys
C:\WINDOWS\system32\cszbt.exe
C:\WINDOWS\3.EXE
C:\WINDOWS\userinit.exe
C:\WINDOWS\¥ãFM×N.EXE
C:\WINDOWS\oxnkpu.exe
C:\system.exe

poste hier die reporte
------------------------------------------------------------------

2.
Haxfix anwenden
http://users.telenet.be/marcvn/tools/haxfix.exe

Wähle die Option 1: Erstelle ein Logfile durch auf die 1 zu drücken.
Das kann einen Moment dauern. Wenn HaxFix damit fertig ist, öffnet es eine Textdatei (haxlog.txt)

Starte das Haxfix auf deinem Desktop erneut, durch Klicken auf das HaxFix Icon.
(oder öffne den Ordner Programme\haxfix und klicke doppelt auf die fix.bat)
Wähle nun zwischen Option 2 ( automatische Fix) - (c:\haxfix.txt) - hier posten

3.
versuche das log von combofix zu posten
http://virus-protect.org/artikel/tools/combofix.html

4.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein: (ohne Zitat)

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scsipsr vc
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\scsiusr4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc

Files to delete:
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\34263609.exe
C:\WINDOWS\system32\ksl48.bin
C:\WINDOWS\system32\msasvc.exe
C:\WINDOWS\system32\scsipsrvc.sys
C:\WINDOWS\system32\scsiusr4.dll
C:\WINDOWS\system32\cszbt.exe
C:\WINDOWS\3.EXE
C:\WINDOWS\userinit.exe
C:\WINDOWS\¥ãFM×N.EXE
C:\WINDOWS\oxnkpu.exe
C:\system.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

wenn der avenger nicht funktioniert, loesche die Dateien manuell

»»
Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\rundll.32*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\rundll32*.*" > c:\find.txt & start notepad c:\find.txt

poste, was im Texteditor erscheint

»»
versuche mit sophos zu scannen und poste den report (wende option 6 an)
http://virus-protect.org/artikel/tools/sdfix.html

_____________


msasvc.exe - (KAV: Trojan-Downloader.Win32.Tiny.bw)
__________
MfG Sabina

rund um die PC-Sicherheit