msthost.exe - sicher entfernen - wie?

#1 Hallo!

Hatte einen Trojaner -> msthost.exe auf meinem PC gefunden und gelöscht.
Bin mir allerdings nicht sicher (da noch Anfänger) ob er nun komplett weg ist.

Hier mein HijackThis Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 13:32:09, on 30.04.2004
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Dokumente und Einstellungen\Jean-Marc\Desktop\DeeEnEs\DeeEnEs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\altsvc.exe
C:\WINDOWS\system32\service.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\lssas.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Jean-Marc\Desktop\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [DeeEnEs] C:\Dokumente und Einstellungen\Jean-Marc\Desktop\DeeEnEs\DeeEnEs.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Preispiraten 2.02 (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38021.4434259259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C12A2739-BB0F-4AE1-AF6A-594ADBB6EAB0}: NameServer = 217.5.99.105 194.25.2.129

Bin für jeden Tipp dankbar.

Viele Grüße,
Jean-Marc
__________
In ihrem Fehler ist eine Anwendung aufgetreten!

#2 Fix mal:
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

@all
weis einer was das ist ?
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
MFG
DAFRA

#3 Leider ist der Trojaner noch druaf.

Fixe mal folgendes mit dem HijackThis und gehe dann in den abgesicherten Modus( neustarten und beim Hochfahren F8 druecken.
.
Dort machst du den Virenscann noch einmal:


C:\WINDOWS\system32\altsvc.exe
C:\WINDOWS\system32\lssas.exe
C:\WINDOWS\system32\service.exe

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#4 ja, dann ist das der Reg-Eintrag, oder ??
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
Weil sonst sind die 04 Sachen clear.
MFG
DAFRA

#5 http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm

Und lade dieses AntivirenTool , beim Laden <save to disc< akzeptieren < , dann mwav,exe suchen...entpacken scannen.


Und mach noch einen Online-Virenscann
http://housecall.trendmicro.com/


Nimm diese drei aus dem Autostart....sind "gute Programme, haben aber nichts im Autostart verloren )...wie @Dafra schon gesagt hat.


Start<Ausfuehren<msconfig reinschreiben <Systemstart...Haeckchen raus....neustarten

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#6 @Dafra
Es scheint, dass 04 sauber ist...

PSDrvCheck.exe PinnacleDriverCheck
Related to Pinnacle InstantCopy CD/DVD software. Located in "C:\WINDOWS\SYSTEM\" on Windows 95/98/ME, "C:\WINNT\SYSTEM32\" on Windows NT/2000 and "C:\WINDOWS\SYSTEM32\" on Windows XP.

aber ich sehe 2 Mal die C:\WINDOWS\system32\lsass.exe,und die C:\WINDOWS\system32\altsvc.exe.................... scheint der Trojaner zu sein.
Im abgesicherten Modus loescht das der Virenscanner bestimmt...hoffentlich..
sonst muss man diese zwei exe manuell entfernen ..

-----------------------------------------------------------------------
@ Jean-Mark

C:\WINDOWS\system32\service.exe
scheint der Worm.Win32.Raleka zu sein
http://www.liutilities.com/products/wintaskspro/processlibrary/service/

Enfernen :Wiederherstellung deaktivieren , SicherheitsPatch von Mikrosoft laden

http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
scannen mit Antivirus im abgesicherten Modus ohne Intenetverbindung
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.raleka.html


Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 @Sabina
die C:\WINDOWS\system32\lsass.exe,und die C:\WINDOWS\system32\altsvc.exe hat der Virenscanner
nicht gefunden. Auch nicht im abgesichterten Modus.
Auch der Online-Virenscan hat nichts gefunden.
Soll, bzw. kann ich diese beiden Dateien nun per Hand, also manuell, löschen? Also einfach ins Verzeichnis rein
und löschen oder muss ich noch irgendwas beachten?
__________
In ihrem Fehler ist eine Anwendung aufgetreten!

#8 Nein, nein, das ist dann doch zu gefaehrlich, weil ich nicht weiss, wo der Uebeltaeter in der Registry sitzt.


und lade dieses Tool

http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm

Und lade dieses AntivirenTool , beim Laden <save to disc< akzeptieren < , dann mwav,exe suchen...entpacken scannen.

Poste dann mal, ob der der mwav was angezeigt hat.


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Den Online-Scan habe ich gemacht ... hat nichts angezeigt ...
__________
In ihrem Fehler ist eine Anwendung aufgetreten!

#10 @ Jean-Marc:
beachte: Lsass.exe und Lssas.exe. Man überliest das gerne
Erstere ist in den meisten Fällen eine Systemdatei, Letztere hat auf einem Windowssystem nichts zu suchen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11 OK. Der eScan Virenscanner hat folgendes gefunden:

File C:\WINDOWS\system32\service.exe tagged as not-a-virus:RiskWare.Tool.SRunner. No Action Taken.
File C:\WINDOWS\system32\lssas.exe tagged as not-a-virus:RiskWare.FTP.Serv-U.25.f. No Action Taken.
File C:\WINDOWS\system32\service.exe tagged as not-a-virus:RiskWare.Tool.SRunner. No Action Taken.

Wie krieg ich diesen Mist nun endgültig weg?
__________
In ihrem Fehler ist eine Anwendung aufgetreten!

#12 Weisst du vielleicht noch den Namen von diesem Trojaner ???

MFg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Der Trojaner heißt IRC/Flood.au - zumindest meinte das Antivir.

Habe den/die Trojaner wegbekommen, mit format C:\
War eh mal an der Zeit ... und irgendwie war ja doch der Wurm drin ...

Jedenfalls vielen Dank für eure Hilfe. Klasse Forum!!

Viele Grüße,
Jean-Marc
__________
In ihrem Fehler ist eine Anwendung aufgetreten!