|
Plagegeister aller Art und deren Bekämpfung: au_.exe und bu_.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.02.2008, 15:24 | #1 |
Gesperrt | au_.exe und bu_.exe habe mir heut ein programm geladen das wohl die dateien au_.exe und bu_.exe in den lokalen temp ordner (nsu.tmp) kopierte diese führten sich dann aus und blieben in der taskleiste, zonealarm meldete programm zugriff ausgehend und sperrte beide. habe danach den nsu.tmp ordner gelöscht und neu gestartet danach kam nix (auch kein neuer nsu.tmp ordner) mehr kein eintrag im task menü meine frage ist ist mein rechner nu befallen oder sauber? würd mich über hilfe freuen ps: habe in mehreren foren gelesen das die beiden progs den trojaner spyfalcon laden ? zonealarm sperrte aber den zugriff heißt das kein laden von spyfalcon oder wie ist das nu |
18.02.2008, 16:04 | #2 |
/// AVZ-Toolkit Guru | au_.exe und bu_.exe__________________
__________________ |
18.02.2008, 17:35 | #3 |
Gesperrt | au_.exe und bu_.exe Logfile of HijackThis v1.99.1
__________________Scan saved at 17:30:57, on 18.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\Ati2evxx.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\Ati2evxx.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\windows\Explorer.EXE C:\windows\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe C:\Programme\D-Link\Bluetooth Software\BTTray.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\D-Link\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\runservice.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\D-Link\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\D-Link\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\D-Link\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .pcg: C:\Programme\Internet Explorer\Plugins\nppcgplg.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197966550968 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EB1A485C-992F-4209-AA38-55766D22E6EF}: NameServer = 213.191.74.18 62.109.123.196 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\D-Link\Bluetooth Software\bin\btwdins.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe so da is sie =) |
18.02.2008, 19:45 | #4 |
/// AVZ-Toolkit Guru | au_.exe und bu_.exe Updaten deinen I-Net Explorer bitte auf version 7. auch wenn du ihn nicht nutzt.. Dann führe bitte einen eScan durch. Anleitung gibt's in miener Signatur.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
18.02.2008, 19:56 | #5 |
Gesperrt | au_.exe und bu_.exe e-scan? hm hab mein system mit antivir und spybot gescannt und nix gefunden und der 6 ist mir lieber als der 7 ner um ehrlich zu sein kam der befall durch eigenverschulden und nicht durch ne browser lücke soweit ich weiß |
18.02.2008, 20:23 | #6 |
/// AVZ-Toolkit Guru | au_.exe und bu_.exe Wenn du dich meinen Empfehlungen nicht anschließen magst. O.k.
__________________ --> au_.exe und bu_.exe |
18.02.2008, 22:17 | #7 |
Gesperrt | au_.exe und bu_.exe der hat 11 trojaner viren und spyware gefunden juhuuu aber nochnicht mal ne löschen funktion hab nach fast 2 stunden abgebrochen |
18.02.2008, 22:22 | #8 |
Gesperrt | au_.exe und bu_.exe und jetzt les ich von einem moderator von HijackThis das escan schwachsinn ist da er viele fehlalarme auslöse um die verkaufszahlen anzukurbel was soll man da noch glauben schade naja |
19.02.2008, 00:40 | #9 | |
/// AVZ-Toolkit Guru | au_.exe und bu_.exeZitat:
Wir werten das log aus. Was eScan sagt ist schei* egal. Wir verwenden es als AnalyseTool.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
19.02.2008, 07:51 | #10 |
Gesperrt | au_.exe und bu_.exe ne das war jemand anderes aber die kommentare die meinen escan ist schei.... häufen sich =) so hier ist meine log file naja hab die einträge selbst rauskopiert 18 Feb 2008 20:28:01 => ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft ***** 18 Feb 2008 20:28:02 => Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\spydb.avs, Size: 343537]. 18 Feb 2008 20:28:05 => Indexed Spyware Databases Successfully Created... 18 Feb 2008 20:28:17 => System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Maßnahme ergriffen. 18 Feb 2008 20:28:20 => Offending Key found: HKCR\magnet !!! 18 Feb 2008 20:28:20 => Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Feb 2008 20:28:22 => Offending file found: C:\windows\gpinstall.exe 18 Feb 2008 20:28:22 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Maßnahme ergriffen. 18 Feb 2008 20:28:24 => Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024 18 Feb 2008 20:28:24 => Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Feb 2008 20:28:49 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\eye of the beholder2\start.exe 18 Feb 2008 20:28:49 => System found infected with multipassrecover Spyware (start.exe)! Action taken: Keine Maßnahme ergriffen. 18 Feb 2008 20:28:55 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\sttng\trans.exe 18 Feb 2008 20:28:55 => System found infected with addestroyer Spyware/Adware (trans.exe)! Action taken: Keine Maßnahme ergriffen. 18 Feb 2008 20:29:03 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\eye of the beholder2\start.exe 18 Feb 2008 20:29:03 => System found infected with multipassrecover Spyware (start.exe)! Action taken: Keine Maßnahme ergriffen. 18 Feb 2008 20:29:03 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\sttng\trans.exe 18 Feb 2008 20:29:03 => System found infected with addestroyer Spyware/Adware (trans.exe)! Action taken: Keine Maßnahme ergriffen. 18 Feb 2008 20:29:03 => Offending file found: C:\windows\system32\unrar.dll 18 Feb 2008 20:29:03 => System found infected with savenow Adware (C:\windows\system32\unrar.dll)! Action taken: Keine Maßnahme ergriffen. 18 Feb 2008 20:29:03 => Offending Registry Entry found: hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll 18 Feb 2008 20:29:03 => System found infected with regsort Corrupted Adware/Spyware (hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: Keine Maßnahme ergriffen. 18 Feb 2008 22:01:25 => Datei E:\Programme\Bethesda Softworks\Star Trek Legacy\patch_cb75d084b162f622db4613b2db7aeb67.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. so das waren alle 11 die ich nach fast zwei stunden gefunden hab da war noch ne menge zu scannen aber alles spiele und filme das wichtigste die windows files hat er hab dann abgebrochen |
19.02.2008, 07:59 | #11 |
Gesperrt | au_.exe und bu_.exe achja und die 309 fehler von daten die nicht vorhanden sind nicht zu vergessen =) danke im vorraus |
19.02.2008, 09:15 | #12 |
Gesperrt | au_.exe und bu_.exe hm unter zone alarm programm auflistungen zeigt er dauernd ausgehend und eingehende verbindungen von der svhost.exe an port 169.254..... und 85.177....... wird gespeert ist das normal das er heut fast alle 20 minuten verbindung hat langsam werd ich paranoid |
19.02.2008, 11:26 | #13 | |
/// AVZ-Toolkit Guru | au_.exe und bu_.exeZitat:
Mit dem eScan Bericht kann ich nichts anfangen. Lies dir bitte die Anleitung nochmal durch.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
19.02.2008, 19:33 | #14 |
Gesperrt | au_.exe und bu_.exe ja ich weiß trotzdem danke aber nochmal scannen mach ich jetzt nicht ausser das mit den bu_.exe und au_. exe ist mir auch nichts aufgefallen aber das kennst du scheinbar nicht die programme bzw. viren bevor ich hier noch ganz paranoid werde lasse ich es wohl lieber =P trotzdem danke für deine mühe thx |
19.02.2008, 19:43 | #15 | |
/// Helfer-Team | au_.exe und bu_.exe Du musst natürlich wissen was du tust, aber du brauchst auch nicht noch mal zu scannen. Wenn du das Logfile von eScan noch hast, dann lasse es mit der so genannten find.bat auswerten. Vorher Zitat:
__________________ Alle Tipps und Anleitungen ohne Gewähr |
Themen zu au_.exe und bu_.exe |
au_.exe, befallen, dateien, eintrag, foren, frage, geladen, gelöscht, gestartet, lokale, mehrere, melde, neu, neuer, ordner, programm, progs, rechner, sauber, taskleiste, temp, temp ordner, troja, trojaner, zonealarm, zugriff |