|
Log-Analyse und Auswertung: Hab ich einen Trojaner?? ("Spy.BuffaMov")Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.02.2007, 22:07 | #1 |
| Hab ich einen Trojaner?? ("Spy.BuffaMov") Hallo! Ich habe vorhin von meinem Avira AntiVir die Meldung bekommen, ich hätte einen Trojaner an Bord... Daraufhin habe ich dann erstmal den Befehlt "Zugriff Verweigern" angeklickt, und anschließend mit BitDefender einen Check der Partition durchgeführt. Dieser hat zwar einen Trojaner gefunden, allerdings im "Temp" Ordner, den habe ich unverzüglich gelöscht. Dummerweise hab ich mir jetzt den Pfad nicht aufgeschrieben, an welchem der von Avira entdeckte Trojaner steckt. Ich weiß nur noch dass es eine "A0023261.exe" im Ordner "System32" war, die angeblich mit dem Trojaner "Spy.BuffaMov" infiziert sei. Nun hab ich hier das Programm HijackThis entdeckt und gleich einen Scan damit gemacht... Ich habe mich auch durch die Anleitung geschlagen, bis es mir dann irgendwann doch zuviel wurde Es wäre nett, wenn mir jemand die Logfile durchschauen könnte, ob ich nun noch was draufhabe. Danke schonmal im Vorraus Gruß Steve Logfile of HijackThis v1.99.1 Scan saved at 20:45:27, on 22.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre1.5.0_03\bin\jusched.exe C:\Programme\ULI5289\ALi5289.exe C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe C:\WINDOWS\system32\Rundll32.exe F:\Programme\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe F:\Programme\BitDefender9\bdoesrv.exe F:\Programme\BitDefender9\bdnagent.exe F:\Programme\BitDefender9\bdswitch.exe F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe F:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe F:\Programme\Creative\MediaSource\Detector\CTDetect.exe C:\Programme\Messenger\msmsgs.exe F:\Programme\Logitech\SetPoint\SetPoint.exe F:\Programme\AntiVir PersonalEdition Classic\sched.exe F:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\CTsvcCDA.EXE F:\Programme\Ahead\InCD\InCDsrv.exe E:\Spiele\Steam\steam.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe F:\Programme\BitDefender9\vsserv.exe F:\Programme\BitDefender9\bdmcon.exe C:\WINDOWS\system\CmSNXeye.exe F:\Programme\BitComet\BitComet.exe F:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE F:\Programme\Mozilla Firefox\firefox.exe F:\Programme\BitDefender9\bdlite.exe F:\Programme\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\Programme\BitComet\tools\BitCometBHO_1.1.2.7.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [BDMCon] F:\PROGRA~1\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] "F:\Programme\BitDefender9\bdoesrv.exe" O4 - HKLM\..\Run: [BDNewsAgent] "F:\Programme\BitDefender9\bdnagent.exe" O4 - HKLM\..\Run: [BDSwitchAgent] "F:\Programme\BitDefender9\bdswitch.exe" O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] F:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Creative Detector] F:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = F:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download all links using BitComet - res://F:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://F:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://F:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171840356437 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - F:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - F:\Programme\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) |
23.02.2007, 06:09 | #2 |
| Hab ich einen Trojaner?? ("Spy.BuffaMov") Hallo
__________________in deinem HijackThis log ist m.M. nichts auffälliges zu sehen (was aber nichts bedeutet). Starte mal Antivir und unter Ereignisse --> schau unter "Typ" --> nach einem "Fund" und doppelklick ihn --> kopiere die Meldung ab und poste ihn bitte. Bei Bitdefender wird es etwas ähnliches geben poste bitte auch hier die angemeckerte Datei mit genauem Pfad sowie die Bezeichnung des Fundes. Mach bitte auch alle versteckten Datein und Ordner sichtbar und lasse die betroffenen Dateien dann gleich hier Virustotal oder hier Jotti überprüfen (kann bisschen dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, auch wenn nichts gefunden wurde. MFG |
23.02.2007, 11:45 | #3 | |
| Hab ich einen Trojaner?? ("Spy.BuffaMov") Hi,
__________________Danke erstmal für die Antwort Ich habe die Meldung mal aus Avira rauskopiert, das sieht dann so aus: In der Datei 'C:\System Volume Information\_restore{61A1AB50-992D-4C09-BDC0-81913DFB5769}\RP45\A0023261.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.BuffaMov' [TR/Spy.BuffaMov] gefunden. Allerdings komme ich an diese Datei leider nicht ran, da mir der Zugriff auf "Systeme Volume Information" verweigert wird, ist ja standard. Hab mich auch noch nie damit beschäftigt wie ich trotzdem an sowas rankomme, da es bisher nicht von Nöten war. Gibt's da eine Möglichkeit? Außerdem ist mir unter "Fund" nochwas aufgefallen: In der Datei 'C:\Dokumente und Einstellungen\***\Desktop\Watt_Rechner.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.BuffaMov' [TR/Spy.BuffaMov] gefunden. Das ist ja der gleiche, aber diese Datei habe ich beim Fund unverzüglich gelöscht! Zitat:
Gruß Steve PS: Als der Spy.BuffaMov unter "System..." gefunden wurde, hab ich ja den Befehl "Zugriff verweigern" erteilt. Beim anschließenden Virencheck tauchte die Datei auch nicht mehr auf! PPS: Das hier ist die von BitDefender gefundene Datei, hat aber wie mir scheint nix damit zu tun und wurde ja auch bereits gelöscht C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ins1.tmp\core.zip=>runner.exe Entdeckt: Adware.Backweb.H |
23.02.2007, 17:13 | #4 | |
| Hab ich einen Trojaner?? ("Spy.BuffaMov") Hallo, Zitat:
Zu Grabe tragen wie folgt : Start > systemsteuerung > Leistung und Wartung > System > Reiter "systemwiederherstellung >Haken rein bei "systemwiederherstellung auf allen Laufwerken deaktivieren" Kiste runterfahren,Kaffee holen,wieder hochfahren und auf dem selben Weg wie oben den Haken wieder rausnehmen. Voila ,es kann zum Totenschmaus übergegangen werden... Jetzt wirst du uns aber noch einen EScan liefern. Zwecks Kontrolle.Halte dich dabei ganz genau an die Anweisungen zur Nutzung.Es ist sehr wichtig das du dabei alles korrekt machst.Ansonsten ist der Scan unbrauchbar.... Du findest ihn unter "Anleitungen,FAQ,Links" Nochmal , achte auf die Namen und genauen Bezeichnungen..... Irrlicht |
23.02.2007, 18:48 | #5 | |
| Hab ich einen Trojaner?? ("Spy.BuffaMov") hi Danke erstmal für die Hilfe mit dem ersten Eintrag, ich hab ihn standesgemäß beerdirgt Nun gibts allerdings ein Problem... Zitat:
infiziert mit BehavesLike:Win32.FileInfector steckt... Nun bin ich mir fast sicher, dass das nur ne Macke von BitDefender ist, allerdings wollt ich mir doch lieber ne Rückversicherung holen Gruß Steve |
23.02.2007, 22:01 | #6 |
| Hab ich einen Trojaner?? ("Spy.BuffaMov") Hallo, meines Wissens steht in der Anleitung,du sollst deinen Scanner abschalten... Um eben genau dieses zu verhindern.Abschalten : in der unteren blauen Leiste mit der Maus auf die Icons.Eines davon gibt sich als Bitti zu erkennen ,rechtsklick und guggen wo ausschalten oder sinngemäßes steht.Dann weiter Anleitung folgen. ...und nochmal ... Achte darauf welche Version du runterlädst !! Vergleiche die Namen der Versionen !! Irrlicht |
24.02.2007, 10:59 | #7 |
| Hab ich einen Trojaner?? ("Spy.BuffaMov") hi Erstmal zu meiner Verteidigung, ich habe die Anleitung eScan AntiVirus (unterstützt neuere Versionen ab 7.x) auf Schritt und tritt befolgt... Nach Download folgt "Entpacke die Datei mit WinRar", und hier kam der Virusfund. Das man seine Firewall abschalten soll stand nirgends Aber ich habs jetzt mal gemacht und deinem Urteil vertraut Ich werde den Scan mal ausführen und demnächst das Ergebnis posten. Gruß Steve PS: Die Version die ich heruntergeladen habe, ist einfach die aktuellste von der Seite, welche in der Anleitung unter "Download" verlinkt ist. Anhang: Ich fürchte das wird nix Ich befolge wirklich jeden kleinen Schritt, und am Ende kommt immer wenn ich die mwavscan.com ausführen möchte die Meldung: "Ein an das System angeschlossenes Gerät funktioniert nicht... Geändert von @Steve@ (24.02.2007 um 11:10 Uhr) |
Themen zu Hab ich einen Trojaner?? ("Spy.BuffaMov") |
1.exe, antivir, avg, avira, bho, desktop, excel, firefox, hijack, hijackthis, internet, internet explorer, logfile, monitor, mozilla, mozilla firefox, programm, rojaner gefunden, rundll, scan, server, software, system, trojaner, trojaner gefunden, trojaner?, virus, windows, windows xp |