Hallo

Es begann damit, dass die typische Windwos Nachricht kam und mir mitteilte, dass der Explorer nicht mehr funktioniert und deshalb beendet werden müsse. Als diese Fehlermeldung mehrmals hintereinander kam wollte ich schließlich mit meinen AntiVir einen Scan durchlaufen lassen.
Aus irgendeinem Grund jedoch fand ich das Programm nicht und habe es mir dann neu runtergeladen. Der durchgeführte Komplettsscan lieferte schließlich die erschreckenden Neuigkeiten.

Der Trojaner Buzus scheint sich in meinen System breit zu machen. Die Endung hinter diesen Namen variiert, es sind immer vier wechselnde Zeichen.
Nach einigen Suchen fand ich schließlich einige .exe-Dateien die scheinbar damit in Zusammenhang stehen. Sofort habe ich sie manuell gelöscht. Allerdings brachte es kein bemerkenswertes Ergebnis, die Dateien haben sich innerhalb von Sekunden neu erstellt. Jedes mal hatten sie dabei einen anderen Namen der aus sinnlos aneinander gereihten Buchstaben und Zahlen besteht.Die Zeichen hinter den Punkt sind entweder .exe oder.ini.
Nach einigen Löschen und wieder auftauchen der Datei war auch endlich mal ruhe und sie sind nicht von selbst wieder aufgetaucht.
AntiVir jedoch hat immer noch seine Meldung gemacht. Diesmal kommen sie aus
C\RECYCLER\S-1-5-21-436374069-963894560-839522115-500\Dc916.exe.

Und noch ein Hinweis:

Laut einen PC-Spezialisten könnteder Virus von den Programm MovAvi.exe stammen.


Hier ausgeworfenen Daten:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2358
Windows 5.1.2600 Service Pack 2

01.07.2009 15:41:34
mbam-log-2009-07-01 (15-41-16).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 178524
Laufzeit: 23 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
C:\MEMORY\S-v-6-2009 (Trojan.Buzus) -> No action taken.

Infizierte Dateien:
c:\RECYCLER\s-1-5-21-436374069-963894560-839522115-500\Dc928.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{4cbe893c-7cf7-495b-ab4d-02c42568fe2f}\RP409\A0056655.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{4cbe893c-7cf7-495b-ab4d-02c42568fe2f}\RP411\A0056826.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{4cbe893c-7cf7-495b-ab4d-02c42568fe2f}\RP415\A0057287.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{4cbe893c-7cf7-495b-ab4d-02c42568fe2f}\RP415\A0057301.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{4cbe893c-7cf7-495b-ab4d-02c42568fe2f}\RP415\A0057303.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{4cbe893c-7cf7-495b-ab4d-02c42568fe2f}\RP415\A0057305.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{4cbe893c-7cf7-495b-ab4d-02c42568fe2f}\RP415\A0057307.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{4cbe893c-7cf7-495b-ab4d-02c42568fe2f}\RP415\A0057308.exe (Trojan.Agent) -> No action taken.
c:\SYSTEM\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
c:\MEMORY\s-v-6-2009\Desktop.ini (Trojan.Buzus) -> No action taken.







und das von Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:48:06, on 01.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wz1bd\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OKI OPHD DCS Loader - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHDLDCS.EXE

--
End of file - 6113 bytes


So, dann danke im Vorraus für die Mühen


Gruß, BAS

Es gibt Neuigkeiten.

Nachdem ich die Dateien, die scheinbar von selbst in den C:\Dokumente und Einstellungen\Administrator Ordner entstanden sind, gelöscht hatte und danach den Papierkorb entleert habe. gab es keine Fehlermeldungen von AntiVir mehr.
Nach einen Scan, bei dem 40 Dateien gefunden wurden, scheint nun alles wieder normal zu sein. Auch neue Scans lieferten keine weiteren Bedrohungen bzw. Funde.

Ist die Gefahr dadurch nun gebannt? Oder versteckt sich der Buzus irgendwo in einer anderen Datei?

Gruß,

BAS