Win XP: Msthost.exe und Rasautou.exe - Trojanerbefall?? Dringend!!

Scann die Dateien mal online:
Kaspersky-Online Virentest

Dann bekommste hofentlich gängigere Wurm/Viren namen

Dann kannste noch hier unter Magazin->Handbuch->spyware entfernen das Tool Hijackthis benutzen und das Log posten(aber noch nix fixen)

Gruß

Hallo,
Danke für das schnelle Feedback! Der Onlinetest bei Kaspersky brachte für die rasautou-dateien keine Hinweise auf einen Virus!

Hier ist der Log des Programms!
########### LOG ###############
Logfile of HijackThis v1.97.7
Scan saved at 20:06:12, on 03.03.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Webwork\Apache\Apache\Apache.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\Programme\Webwork\MySQL\bin\mysqld-nt.exe
C:\WINDOWS\system32\altsvc.exe
C:\WINDOWS\system32\lssas.exe
C:\WINDOWS\system32\service.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Webwork\Apache\Apache\Apache.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender Professional Edition\bdnagent.exe
C:\WINDOWS\Mixer.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Internet\mozilla\mozilla.exe
C:\Programme\Multimedia\Winamp\winamp.exe
C:\Programme\Webwork\PHPEd\PHPEd\PHPEd.exe
C:\WINDOWS\System32\calc.exe
C:\Programme\Webwork\Dreamweaver\Dreamweaver MX\Dreamweaver.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
c:\programme\softwin\bitdefender professional edition\bdmcon.exe
C:\Programme\Internet\Trillian\trillian.exe
D:\[D]aten\Installationsdateien\WindowsXP-KB828028-x86-DEU.exe
d:\7459d15d06f534faf2065309b9\xpsp1hfm.exe
d:\7459d15d06f534faf2065309b9\sp1\update\update.exe
D:\[D]ownloads\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Professional Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Professional Edition\\bdnagent.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - Global Startup: 2DO.txt
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26F725ED-7C8B-4E4C-B706-429FCA9A5659}: NameServer = 212.6.108.130 212.6.108.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{26F725ED-7C8B-4E4C-B706-429FCA9A5659}: NameServer = 212.6.108.130 212.6.108.131


MfG WMK

Also das Log sieht auf den ersten Blick sauber aus...

Der Trojaner könnte natürlcih auchn Rootkit sein.

Besorg dir mal RegdatXP 1.31, is ne Trial-Version reicht aber dafür erstmal.

Installieren->starten->Compare->selected keys ->alle hidden anklicken->run now

Dann sollte er alle verstecken treiber und Dienste anzeigen.

Wenn er was anzeigt kannst mal schreiben was.

Gruß

Die kannst auch mal Online-scannen

C:\WINDOWS\system32\altsvc.exe

Gruß

Lass auch mal auf Malware scannen mit Spybot oder Ad-Aware.

Also alle Scans ergeben keinen Virusfund! Nochwas ist komisch, ich hab eine "rasauto.dll" die ein Freund der auch Win. XP Prof. benutzt nicht hat!

Ich hab jetzt mal die rasautou.exe durch die Originaldatei ersetzt... mal sehen was passiert!

MfG WMK

Haste RegdatXP benutzt und geschaut obs Hiddeen Run/services gibt?

Gruß

Ja hab ich, das ganze hat aber nichts ergeben. Seitdem ich die Datei ersetzt habe ist Ruhe! Ich hoffe das damit das Problem beseitigt wurde...

Mich würde doch mal sehr gern interessieren was es damit auf sich hatt(e)!

MfG WMK

Naja kann schon sein das da jemand nen original Trojaner/Wurm/Virus von Hand verändert hat dann stimmen die signaturen des AV's natürlich nicht mehr überein und er findet nix mehr...

zu spät dran gedacht vielleicht hast ja was neues gefunden, hätte man sichern sollen und einschicken..

Gruß

Zu Spät ist noch nichts! Das Problem besteht weiterhin! Es liegt auch nicht wie ich jetzt bemerkt habe an der rasautou.exe sondern diese Datei wird über die "rasdlui.exe" aufgerufen! Ich konnt die Datei an sich nur im Registery finden, nicht jedoch woanders! Ich glaube auch das rasdlui.exe nicht zum System gehört!

Soll ich den Registery Eintrag löschen?

MfG WMK

Werden bei dir alle Dateien/ordner angeizeigt einstellbar über Ordneroptionen?

Sonst durchsucht er die SystemVerzeichnisse/-Datein nich.

Wenn das nix hilft besorg dir mal Iarsn Taskinfo2003 is auch ne Trial damit solltest eventuelle Module/Files auch aufspüren können

Welcher Registry-Schlüüsel isn das wo du das findest?

Gruß

Ja ich suche auch verstekcte und Systemdateien kann die aber trotzdem nicht finden!
Ich kann dir leider nciht sagen wo genau ich im Registery ich das finde, weil ich es nur bei einer Suche gefunden habe!

Was mich jetzt interessiert gehört rasdlui.exe zum System? Kann einer mal sein Registery danach durchsuchen? Weil sonst lösch ich das...

MfG WMK

Also bei mir isses nich drauf hab aber w2k ...

Haste eigentlich schon Spybot & destroy drüberlaufen lassen eventuell isses nurn Dialer..

Ansonsten schau mal mit Taskinfo ->prozess markieren links dan kannste rechts unter Module/Files die Refernezen anschauen

Gruß