msasvc.exe - Trojan-Downloader.Win32.Tiny

msasvc.exe - Trojan-Downloader.Win32.Tiny

msasvc.exe - (Trojan-Downloader.Win32.Tiny.bw)

HijackThis

O4 - HKCU\..\Run: [WinMedia] C:\DOKUME~1\user\LOKALE~1\Temp\34263609.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe

datfindbat

Verzeichnis von C:\WINDOWS\system32
12.01.2007 08:40 0 ksl48.bin
12.01.2007 08:39 6.864 scsipsrvc.sys - xmm13g_haxdoor
16.11.2006 21:12 51.782 cszbt.exe
09.10.2006 19:29 10.319 sxfms10.dll - ????????????

Verzeichnis von C:\WINDOWS
14.01.2007 17:54 998 IE4 Error Log.txt
11.01.2007 11:26 2.619 3.EXE
06.01.2007 19:52 30.003 userinit.exe
06.01.2007 19:52 5.892 ¥ãFM×N.EXE
02.01.2007 14:44 3.584 oxnkpu.exe

Verzeichnis von C:\
06.01.2007 19:52 51.325 system.exe

Haxfix anwenden

Wähle die Option 1: Erstelle ein Logfile durch auf die 1 zu drücken.
Das kann einen Moment dauern. Wenn HaxFix damit fertig ist, öffnet es eine Textdatei (haxlog.txt)

Starte das Haxfix auf deinem Desktop erneut, durch Klicken auf das HaxFix Icon.
(oder öffne den Ordner Programme\haxfix und klicke doppelt auf die fix.bat)
Wähle nun zwischen Option 2 ( automatische Fix) - (c:\haxfix.txt)

Avenger

Registry values to delete: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scsipsr vc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc Files to delete: C:\WINDOWS\system32\ksl48.bin C:\WINDOWS\system32\msasvc.exe C:\WINDOWS\system32\scsipsrvc.sys C:\WINDOWS\system32\scsiusr4.dll C:\WINDOWS\system32\cszbt.exe C:\WINDOWS\3.EXE C:\WINDOWS\userinit.exe C:\WINDOWS\¥ãFM×N.EXE C:\WINDOWS\oxnkpu.exe C:\system.exe C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\34263609.exe

anderer Rechner

HijackThis

O4 - HKLM\..\Run: [pinna.exe] C:\WINDOWS\TEMP2\pinna.exe -s
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\system32\autosys.exe
O4 - HKLM\..\Run: [sys32dll] C:\Programme\AKL\Active Key Logger.exe
O4 - HKLM\..\Run: [SC-KL] C:\WINDOWS\TEMP2\svchost.exe -s
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe

datfindbat

2006-12-27 13:34 3,648 --a------ C:\rvpljn.exe
2006-12-27 13:34 3,584 --a------ C:\WINDOWS\system32\msasvc.exe
2006-12-27 13:34 23,552 --a------ C:\rjyvgnd.exe
2006-12-27 13:34 2,981 --a------ C:\WINDOWS\system32\autosys.exe
2006-12-27 09:29 DIR d-------- C:\WINDOWS\SxsCaPendDel
2006-12-26 14:20 DIR d--h----- C:\WINDOWS\PIF

Verzeichnis von C:\WINDOWS\system32
27.12.2006 16:02 44 msssc.dll
27.12.2006 13:34 2.981 autosys.exe
27.12.2006 13:34 3.584 msasvc.exe

Gmer anwenden
Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver - Rootkit - mit gmer löschen !

Avenger

Registry values to delete: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run | AutoSys HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc Files to delete: C:\rvpljn.exe C:\rjyvgnd.exe C:\WINDOWS\win.ini C:\WINDOWS\win.tmp C:\WINDOWS\system32\autosys.exe C:\WINDOWS\system32\msasvc.exe Folders to delete: C:\Programme\TClock

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC\0000]
"DeviceDesc"="Microsoft authenticate service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc]
"DisplayName"="Microsoft authenticate service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC\0000]
"DeviceDesc"="Microsoft authenticate service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc]
"DisplayName"="Microsoft authenticate service"