Bitte um Hilfe bei Entfernung von msa.exe

Hallo,

Das ist mein erster Beitrag hier und mit Viren, Virenprogrammen etc. kenne ich mich nicht wirklich aus.

Seit gestern lahmte mein Laptop extrem und ich wusste nicht woher es kam, da ich (selber) nichts heruntergeladen hatte, was irgendetwas Schädliches enthalten könnte. Zum Glück war dann heute jemand bei einem Bekannten, der sich mit so etwas zumindest etwas auskannte. Dieser Jemand hat dann msa.exe auf meinem Laptop ausfindig gemacht und mir geraten, mal Spybot Search & Destroy herunterzuladen, um einmal alles zu durchsuchen, da er nicht wusste, was msa.exe ist und ob es gut oder schlecht ist.
Jetzt hab ich schon herausgefunden, dass es wohl ein Trojaner ist. Hab auch schon diverse von Hand Lösch-Anleitungen gefunden, aber ich kann es nicht löschen, da er mir immer anzeigt, dass ich dafür Berechtigungen benötige. An dem Punkt komme ich nicht weiter, da ich über alle Administrator-Rechte verfüge.

Kann mir da jemand weiterhelfen? Und schonmal vielen Dank!

 

Mach mal bitte im abgesicherten Modus ein Hijackthis-Log.

 

Bitteschön. Und nun?

 

Systemwiederherstellung deaktivieren.
PC im abgesicherten Modus starten.
http://www2.tu-berlin.de/www/software/virus/savemode.shtml
Temporäre Dateien löschen, mit:
ATF-Cleaner
http://www.hijackthis-forum.de/sicherheits-news/22182-atf-cleaner-3-a.html
Mit HijackThis fixen:

Code:

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\Windows\system32\msxml71.dll
O4 - HKCU\..\Run: [mmplayer.exe] C:\Users\laRkez\AppData\Roaming\Adobe\mmplayer.exe
O4 - HKCU\..\Run: [WAB] C:\Users\laRkez\AppData\Roaming\Macromedia\Common\abac802419.exe
O4 - HKCU\..\Run: [PopRock] C:\Users\laRkez\AppData\Local\Temp\b.exe

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

 

Muss ich im ATF Cleaner alle Punkte mit Temp (Windows Temp, Current User Temp, All Users Temp, Temporary Internet Files) löschen?

 

Ja alle, damit die Orte, wo sich Schädlinge verstecken, gelöscht werden.

 

Klappt nicht. Ich denke, dass ich irgendetwas falsch mache, daher bitte ich nochmals um eine ausführliche Beschreibung. Hier, wie ich vorgegangen bin:

1. Systemwiederherstellung deaktiviert
2. PC heruntergefahren, ca. 1 min gewartet und dann im abgesicherten Modus gestartet.
3. ATF-Cleaner gestartet
->Frage 1: Alle Punkte auswählen oder nur alle, die ein Temp bzw. temporary enthalten?
4. HijackThis aus seinem Ordner gestartet, um die genannten Daten zu fixen. Damit löscht man aber nur die Registry Datei, oder? Um die ganzen anderen infizierten Datein zu löschen, muss man die "Delete a file on reboot" Funktion benutzen.
5. Wie bekomme ich heraus, was noch alles infiziert ist? Ich hab den Spybot Search & Destroy, muss ich dann einfach nur aufschreiben, welche Dateien befallen sind und sich nicht so löschen lassen? Auf der Seite hier http://de.pcthreat.com/parasitebyid-7039de.html ist eine Liste mit Dateien, die man löschen soll. SInd das immer die gleichen oder immer unterschiedlich?

Wo liegt jetzt der Fehler, dass es nicht funktioniert?

 

Ein aktiver Rootkit kann Prozesse verstecken, die man nicht im laufenden System findet. Wenn man einen Rootkit findet (Vermutung kann schon reichen) ist Neuaufsetzen die einzig sichere Methode.
Oder man hat eine unverseuchte Komplettsicherung (Image) zur schnellen Wiederherstellung. Das ist aber hier nicht der Fall, sonst wärst du wohl nicht hier.
Scannen von einer Live-CD aus kann weiter helfen.
http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html

 

Für die Konfiuguration von der CD muss ich ins BIOS, wo ich aber nicht reinkomme. Hab Vista und weder F1 noch Entf. funktionieren ???

Sorry, habs schon selber gefunden!

 

Ich hab das System jetzt mit der erstellten Live-CD von Avira gescannt und es hat lediglich 31 Warnungen gefunden. Während dem Start von der CD, wurde der Bildschirm auch einmal schwarz und es erschienen oben links zwei Maulwürfe mit gelber Nase, Maske oder was auch immer. Das Problem besteht aber weiterhin und die msa.exe Datei wird immer noch 2x beim Neustart ausgeführt.

Wie soll ich jetzt weiterverfahren? Und bitte keine Fachausdrücke an den Kopf hauen, ich bin grad mal 16 und hatte nur 2 Jahre Informatik in der Schule, die mir hier aber nicht wirklich weiterhelfen -.-

 

>und es erschienen oben links zwei Maulwürfe mit gelber Nase, Maske oder was auch immer.

Das war Tux.


>31 Warnungen
Und damit soll ich jetzt etwas anfangen können?
Das kann vielleicht ein Hellseher.


Das wird dann die einzig sinnvolle Lösung sein
http://www.pcwelt.de/forum/sicherhe...-zusammenstellung-mache-meinen-pc-sicher.html

 

Wenn du mir verrätst, wie ich die 31 Meldungen als .txt Datei speichere, lade ich sie gerne hoch. Das Avira Fenster konnte man nicht schließen, sondern nur alles mit Herunterfahren beenden.

Und mal abgesehen davon, dass ich den Link zwar öffnen kann, dann aber nicht weiter komme, da ich kein Work besitze. Was hilft es mir meinen PC jetzt sicherer zu machen, wo ich das msa.exe nicht löschen kann?

 

http://forum.avira.com/wbb/index.php?page=Thread&postID=774510

 

Ich bin der Meinung,
ein kompromittiertes System sollte nicht geflickt, sondern neu und richtig installiert werden.

Pers. Anmerkung:
durch Umstellung auf FF 3.5.2 habe ich im Moment nicht die weiterführenden Links parat, reiche sie aber gerne nach.
Bis dahin werden die erfahrenen Helfer vermutlich schneller sein

 

Das ist auch meine Meinung.

>durch Umstellung auf FF 3.5.2 habe ich im Moment nicht die weiterführenden Links parat

Stecken vielleicht noch in einer Sicherung von MozBackup

 

Hi,

Also meint ihr, dass ich theoretisch Windows löschen soll, um es dann mit der (selbsterstellten) Wiederherstellungs-CD neu zu installieren?

 

Ja, du wirst sonst nicht glücklich.

 

Ok, bin grad dabei, Musik, Bilder etc. auf CD's zu sichern. Wenn du mir jetzt noch sagst, wie man den "Neustart" am schnellsten über die Bühne bekommt, bedank ich mich herzlich!

(Du weißt nicht zufällig, wie ich das mit der Lizenz von PhotoShop hinbekomme? Oder einfach nur neu installieren und Lizenz-Code eingeben?!)

 

Lizenzcode neu eingeben sollte kein Problem sein.
Ich hatte dir schon einen Link gepostet (von Gandalf) mit Anleitungen zur Neuinstallation.

 

Ganz sicher das; auch in der gesicherten bookmark.html des FF 2.0.020.

Im Moment fehlt mir die Zeit und die Muße, gelobe aber Besserung bis zum WE sollte es klappen