Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hab ich einen Trojaner?? ("Spy.BuffaMov")

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 22.02.2007, 22:07   #1
@Steve@
 
Hab ich einen Trojaner?? ("Spy.BuffaMov") - Standard

Hab ich einen Trojaner?? ("Spy.BuffaMov")



Hallo!
Ich habe vorhin von meinem Avira AntiVir die Meldung bekommen, ich hätte einen Trojaner an Bord... Daraufhin habe ich dann erstmal den Befehlt "Zugriff Verweigern" angeklickt, und anschließend mit BitDefender einen Check der Partition durchgeführt. Dieser hat zwar einen Trojaner gefunden, allerdings im "Temp" Ordner, den habe ich unverzüglich gelöscht. Dummerweise hab ich mir jetzt den Pfad nicht aufgeschrieben, an welchem der von Avira entdeckte Trojaner steckt. Ich weiß nur noch dass es eine "A0023261.exe" im Ordner "System32" war, die angeblich mit dem Trojaner "Spy.BuffaMov" infiziert sei.
Nun hab ich hier das Programm HijackThis entdeckt und gleich einen Scan damit gemacht... Ich habe mich auch durch die Anleitung geschlagen, bis es mir dann irgendwann doch zuviel wurde Es wäre nett, wenn mir jemand die Logfile durchschauen könnte, ob ich nun noch was draufhabe. Danke schonmal im Vorraus Gruß Steve

Logfile of HijackThis v1.99.1
Scan saved at 20:45:27, on 22.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\ULI5289\ALi5289.exe
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
F:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Programme\BitDefender9\bdoesrv.exe
F:\Programme\BitDefender9\bdnagent.exe
F:\Programme\BitDefender9\bdswitch.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
F:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Messenger\msmsgs.exe
F:\Programme\Logitech\SetPoint\SetPoint.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
F:\Programme\Ahead\InCD\InCDsrv.exe
E:\Spiele\Steam\steam.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
F:\Programme\BitDefender9\vsserv.exe
F:\Programme\BitDefender9\bdmcon.exe
C:\WINDOWS\system\CmSNXeye.exe
F:\Programme\BitComet\BitComet.exe
F:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
F:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\BitDefender9\bdlite.exe
F:\Programme\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\Programme\BitComet\tools\BitCometBHO_1.1.2.7.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDMCon] F:\PROGRA~1\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "F:\Programme\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "F:\Programme\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "F:\Programme\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] F:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] F:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all links using BitComet - res://F:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://F:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://F:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171840356437
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - F:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - F:\Programme\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Alt 23.02.2007, 06:09   #2
nochdigger
 
Hab ich einen Trojaner?? ("Spy.BuffaMov") - Standard

Hab ich einen Trojaner?? ("Spy.BuffaMov")



Hallo

in deinem HijackThis log ist m.M. nichts auffälliges zu sehen (was aber nichts bedeutet).
Starte mal Antivir und unter Ereignisse --> schau unter "Typ" --> nach einem "Fund" und doppelklick ihn --> kopiere die Meldung ab und poste ihn bitte.
Bei Bitdefender wird es etwas ähnliches geben poste bitte auch hier die angemeckerte Datei mit genauem Pfad sowie die Bezeichnung des Fundes.

Mach bitte auch alle versteckten Datein und Ordner sichtbar und lasse die betroffenen Dateien dann gleich hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG
__________________


Alt 23.02.2007, 11:45   #3
@Steve@
 
Hab ich einen Trojaner?? ("Spy.BuffaMov") - Standard

Hab ich einen Trojaner?? ("Spy.BuffaMov")



Hi,
Danke erstmal für die Antwort Ich habe die Meldung mal aus Avira rauskopiert, das sieht dann so aus:
In der Datei 'C:\System Volume Information\_restore{61A1AB50-992D-4C09-BDC0-81913DFB5769}\RP45\A0023261.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.BuffaMov' [TR/Spy.BuffaMov] gefunden.


Allerdings komme ich an diese Datei leider nicht ran, da mir der Zugriff auf "Systeme Volume Information" verweigert wird, ist ja standard. Hab mich auch noch nie damit beschäftigt wie ich trotzdem an sowas rankomme, da es bisher nicht von Nöten war. Gibt's da eine Möglichkeit?

Außerdem ist mir unter "Fund" nochwas aufgefallen:
In der Datei 'C:\Dokumente und Einstellungen\***\Desktop\Watt_Rechner.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.BuffaMov' [TR/Spy.BuffaMov] gefunden.


Das ist ja der gleiche, aber diese Datei habe ich beim Fund unverzüglich gelöscht!

Zitat:
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.
Hier muss ich leider passen... Was genau meinst du damit? Schon MD5 und SHA1 sind für mich absolute Fremdwörter!
Gruß Steve

PS: Als der Spy.BuffaMov unter "System..." gefunden wurde, hab ich ja den Befehl "Zugriff verweigern" erteilt. Beim anschließenden Virencheck tauchte die Datei auch nicht mehr auf!

PPS: Das hier ist die von BitDefender gefundene Datei, hat aber wie mir scheint nix damit zu tun und wurde ja auch bereits gelöscht
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ins1.tmp\core.zip=>runner.exe Entdeckt: Adware.Backweb.H
__________________

Alt 23.02.2007, 17:13   #4
irrlicht
 
Hab ich einen Trojaner?? ("Spy.BuffaMov") - Standard

Hab ich einen Trojaner?? ("Spy.BuffaMov")



Hallo,
Zitat:
System Volume Information\_restore
Die Meldung werden wir jetzt mal beerdigen...
Zu Grabe tragen wie folgt :

Start > systemsteuerung > Leistung und Wartung > System > Reiter "systemwiederherstellung >Haken rein bei "systemwiederherstellung auf allen Laufwerken deaktivieren"
Kiste runterfahren,Kaffee holen,wieder hochfahren und auf dem selben Weg wie oben den Haken wieder rausnehmen.
Voila ,es kann zum Totenschmaus übergegangen werden...
Jetzt wirst du uns aber noch einen EScan liefern.
Zwecks Kontrolle.Halte dich dabei ganz genau an die Anweisungen zur Nutzung.Es ist sehr wichtig das du dabei alles korrekt machst.Ansonsten ist der Scan unbrauchbar....
Du findest ihn unter "Anleitungen,FAQ,Links"
Nochmal , achte auf die Namen und genauen Bezeichnungen.....
Irrlicht

Alt 23.02.2007, 18:48   #5
@Steve@
 
Hab ich einen Trojaner?? ("Spy.BuffaMov") - Standard

Hab ich einen Trojaner?? ("Spy.BuffaMov")



hi
Danke erstmal für die Hilfe mit dem ersten Eintrag, ich hab ihn standesgemäß beerdirgt Nun gibts allerdings ein Problem...


Zitat:
Jetzt wirst du uns aber noch einen EScan liefern.
Mein BitDefender startet jedesmal einen Höllenalarm wenn ich das Ding entpacke, sprich er lässt nicht zu dass ich alle Dateien vollständig/alle entpacke, da in der einen der Virus Datei f:\programme\mwav - antivir\mwav\mwavscan.com
infiziert mit BehavesLike:Win32.FileInfector
steckt... Nun bin ich mir fast sicher, dass das nur ne Macke von BitDefender ist, allerdings wollt ich mir doch lieber ne Rückversicherung holen
Gruß Steve


Alt 23.02.2007, 22:01   #6
irrlicht
 
Hab ich einen Trojaner?? ("Spy.BuffaMov") - Standard

Hab ich einen Trojaner?? ("Spy.BuffaMov")



Hallo,
meines Wissens steht in der Anleitung,du sollst deinen Scanner abschalten...
Um eben genau dieses zu verhindern.Abschalten : in der unteren blauen Leiste mit der Maus auf die Icons.Eines davon gibt sich als Bitti zu erkennen ,rechtsklick und guggen wo ausschalten oder sinngemäßes steht.Dann weiter Anleitung folgen.
...und nochmal ...
Achte darauf welche Version du runterlädst !! Vergleiche die Namen der Versionen !!
Irrlicht

Alt 24.02.2007, 10:59   #7
@Steve@
 
Hab ich einen Trojaner?? ("Spy.BuffaMov") - Standard

Hab ich einen Trojaner?? ("Spy.BuffaMov")



hi
Erstmal zu meiner Verteidigung, ich habe die Anleitung eScan AntiVirus (unterstützt neuere Versionen ab 7.x) auf Schritt und tritt befolgt... Nach Download folgt "Entpacke die Datei mit WinRar", und hier kam der Virusfund. Das man seine Firewall abschalten soll stand nirgends Aber ich habs jetzt mal gemacht und deinem Urteil vertraut Ich werde den Scan mal ausführen und demnächst das Ergebnis posten. Gruß Steve

PS: Die Version die ich heruntergeladen habe, ist einfach die aktuellste von der Seite, welche in der Anleitung unter "Download" verlinkt ist.

Anhang: Ich fürchte das wird nix Ich befolge wirklich jeden kleinen Schritt, und am Ende kommt immer wenn ich die mwavscan.com ausführen möchte die Meldung: "Ein an das System angeschlossenes Gerät funktioniert nicht...

Geändert von @Steve@ (24.02.2007 um 11:10 Uhr)

Antwort

Themen zu Hab ich einen Trojaner?? ("Spy.BuffaMov")
1.exe, antivir, avg, avira, bho, desktop, excel, firefox, hijack, hijackthis, internet, internet explorer, logfile, monitor, mozilla, mozilla firefox, programm, rojaner gefunden, rundll, scan, server, software, system, trojaner, trojaner gefunden, trojaner?, virus, windows, windows xp




Ähnliche Themen: Hab ich einen Trojaner?? ("Spy.BuffaMov")


  1. "Suspicious.Cloud.9" (Trojaner) und "SAPE.DnwldSponsor.2" (Virus?, vielleicht False Positive)
    Plagegeister aller Art und deren Bekämpfung - 22.08.2015 (23)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (77)
  4. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  5. Wie entferne ich auf Windows 7 im abgesicherten Modus einen "BKA Trojaner"
    Log-Analyse und Auswertung - 01.08.2013 (5)
  6. Gibt es einen Schutz vor "Malware Defense", "Antivirus 2010pro" und Co?
    Antiviren-, Firewall- und andere Schutzprogramme - 30.12.2012 (25)
  7. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  8. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  9. "Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert."
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (2)
  10. Startseite fehlerhaft, stets "NatWest" (www.nwolb.com) Trojaner "Trojan.ZBotR.Gen" gefunden
    Log-Analyse und Auswertung - 02.04.2012 (28)
  11. Ebenfalls einen "Windows blockiert" Trojaner eingafangen.
    Log-Analyse und Auswertung - 29.02.2012 (11)
  12. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  13. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  14. "System Error"-Meldungen über einen Trojaner...hilfe bitte
    Mülltonne - 26.06.2008 (0)
  15. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
  16. eTrust fand "einen" Trojaner, danach AntiVir noch "vier"..!!??
    Plagegeister aller Art und deren Bekämpfung - 26.12.2005 (5)
  17. Komische Mails mit Beschimpfungen od. Hinweis "Du hast einen Trojaner drauf"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2004 (4)

Zum Thema Hab ich einen Trojaner?? ("Spy.BuffaMov") - Hallo! Ich habe vorhin von meinem Avira AntiVir die Meldung bekommen, ich hätte einen Trojaner an Bord... Daraufhin habe ich dann erstmal den Befehlt "Zugriff Verweigern" angeklickt, und anschließend mit - Hab ich einen Trojaner?? ("Spy.BuffaMov")...
Archiv
Du betrachtest: Hab ich einen Trojaner?? ("Spy.BuffaMov") auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.