Trojaner w32\buzus.x

derholgi

HALLO LEUTE

ich hab hier ein schräges problem (sowas hab ich noch nicht gesehen)
und zwar :
mein pc fing vorgestern aus heiterem himmel über die internetverbindung zu saugen (schwankt immer zwischen 350 - 450 kbit\s) kurz darauf war es mir nicht mehr möglich die netzwerkverbindung über windows zu trennen lediglich wenn ich das kabel zog war ruhe was gesaugt wird und wohin er die daten speichert is mir unbekannt UND KOMMTS ERST RICHTIG gestern setzte ich mein system neu auf und installierte meine treiber als auf einmal
der download wieder begann ich habe darauf hin firewalls und virenscanner en masse ausprobiert nix passierte ALSO TAT ICH WAS ZU TUN WAR UND INSTALLIERTE WINDOWS EIN ZWEITES MAL NEU
ich installierte alle treiber und die comodo firewall alles schien ruhig über nacht habe ich einen kompletten systemscan gemacht als ich heute morgen nachsah sagte mit comodo anti virus ich hätte den trojaner w32\buzus.X in mehreren datein auf meinem system ich ertfernte ihn und wurde zum reboot aufgefordert nach dem reboot ging der dowload wie oben beschrieben wieder los

ICH BITTE UM HILFE ICH WEISS NICHT MEHR WEITER

HIER MEIN MALWARE SCAN

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2615
Windows 6.0.6000

13.08.2009 09:51:28
mbam-log-2009-08-13 (09-51-28).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 20086
Laufzeit: 2 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


SOWIE DEN RSIT SCAN

info.txt logfile of random's system information tool 1.06 2009-08-13 15:01:12

======Uninstall list======

-->MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
AeroPeek-->MsiExec.exe /I{05FA911F-E9CE-4C36-A272-A45CCE52C1C0}
AeroSnap 0.61-->"C:\Program Files\AeroSnap\unins000.exe"
ArmA2 Uninstall-->E:\Program Files\Bohemia Interactive\UnInstall.exe
Ashampoo Burning Studio 9.10-->"D:\Ashampoo Burning Studio 9\unins000.exe"
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
COMODO Internet Security-->C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe -u
DAEMON Tools Toolbar-->C:\Program Files\DAEMON Tools Toolbar\uninst.exe
Driver Genius Professional Edition-->"C:\Program Files\Driver-Soft\DriverGenius\unins000.exe"
HijackThis 2.0.2-->"F:\Firefox Downloads\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF}
K-Lite Mega Codec Pack 5.0.5-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Logitech GamePanel Software 3.02.173-->MsiExec.exe /X{EB731227-8AC5-4889-ACE9-7D87864A9F19}
LogonStudio Vista-->C:\PROGRA~1\Stardock\OBJECT~1\LOGONS~1\UNWISE.EXE C:\PROGRA~1\Stardock\OBJECT~1\LOGONS~1\INSTALL.LOG
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Games for Windows - LIVE -->MsiExec.exe /X{4AA3D64E-9EC3-4B0F-AB91-5885AC55641F}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{FD052FB9-FE90-4438-B355-15EDC89D8FB1}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
MozBackup 1.4.9-->C:\Program Files\MozBackup\Uninstall.exe
Mozilla Firefox (3.5.2)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI
NVIDIA nTune-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{7C7F30F4-94E7-4AA8-8941-90C4A80C68BF} /l1031
NVIDIA PhysX-->MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
NVIDIA Stereoscopic 3D Driver-->"C:\Program Files\NVIDIA Corporation\3D Vision\nvStInst.exe" /uninstall /ask
Realtek High Definition Audio Driver-->C:\Program Files\Realtek\Audio\HDA\RtlUpd.exe -r -m -nrg2709
System Health Windows SideShow Gadget-->MsiExec.exe /I{1B8099EF-9E12-42AE-814A-D169D0176564}
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
TeamSpeak 2 Server RC2-->"C:\Program Files\Teamspeak2_RC2\unins001.exe"
Tom Clancy's H.A.W.X-->"C:\Program Files\InstallShield Installation Information\{6E36A172-06FB-4BC8-B7FC-D30D219E6776}\setup.exe" -runfromtemp -l0x0007 -removeonly
TuneUp Utilities 2009-->MsiExec.exe /I{55A29068-F2CE-456C-9148-C869879E2357}
Tunngle beta-->"C:\Program Files\Tunngle\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Windows SideShow Managed Runtime 1.0-->MsiExec.exe /X{3516C69A-024D-42A8-B948-FFAA7B9CC49A}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe

======Security center information======

AV: COMODO Antivirus
FW: COMODO Firewall
AS: COMODO Defense+
AS: Windows-Defender

======System event log======

Computer Name: DrGummischwenge
Event Code: 33
Message: Die älteste Schattenkopie von Volume "C:" wurde gelöscht, um den Datenträger-Speicherplatz für Schattenkopien auf Volume "C:" unterhalb des benutzerdfinierten Limits zu belassen.
Record Number: 31388
Source Name: volsnap
Time Written: 20090813110153.142993-000
Event Type: Informationen
User:

Computer Name: DrGummischwenge
Event Code: 33
Message: Die älteste Schattenkopie von Volume "C:" wurde gelöscht, um den Datenträger-Speicherplatz für Schattenkopien auf Volume "C:" unterhalb des benutzerdfinierten Limits zu belassen.
Record Number: 31389
Source Name: volsnap
Time Written: 20090813110153.198993-000
Event Type: Informationen
User:

Computer Name: DrGummischwenge
Event Code: 4
Message: Der Druckspooler konnte eine vorhandene Druckerverbindung nicht erneut öffnen, weil er die Konfigurationsinformationen aus dem Registrierungsschlüssel S-1-5-18\Printers\Connections nicht lesen konnte. Der Druckspooler konnte den Registerierungsschlüssel nicht öffnen. Es könnte sein, dass der Registrierungsschlüssel beschädigt ist oder fehlt oder dass die Registrierung nicht mehr verfügbar ist.
Record Number: 31390
Source Name: Microsoft-Windows-SpoolerWin32SPL
Time Written: 20090813110638.000000-000
Event Type: Warnung
User:

Computer Name: DrGummischwenge
Event Code: 4
Message: Der Druckspooler konnte eine vorhandene Druckerverbindung nicht erneut öffnen, weil er die Konfigurationsinformationen aus dem Registrierungsschlüssel S-1-5-18\Printers\Connections nicht lesen konnte. Der Druckspooler konnte den Registerierungsschlüssel nicht öffnen. Es könnte sein, dass der Registrierungsschlüssel beschädigt ist oder fehlt oder dass die Registrierung nicht mehr verfügbar ist.
Record Number: 31391
Source Name: Microsoft-Windows-SpoolerWin32SPL
Time Written: 20090813110638.000000-000
Event Type: Warnung
User:

Computer Name: DrGummischwenge
Event Code: 33
Message: Die älteste Schattenkopie von Volume "C:" wurde gelöscht, um den Datenträger-Speicherplatz für Schattenkopien auf Volume "C:" unterhalb des benutzerdfinierten Limits zu belassen.
Record Number: 31392
Source Name: volsnap
Time Written: 20090813110858.086993-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: DrGummischwenge
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind.
Record Number: 1036
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090813084020.000000-000
Event Type: Informationen
User:

Computer Name: DrGummischwenge
Event Code: 8220
Message: Beim Löschen der Dateien ist eine Zeitüberschreitung aufgetreten.

Vorgang:
OnPostSnapshot-Ereignis
PostSnapshot-Ereignis

Kontext:
Ausführungskontext: Shadow Copy Optimization Writer
Ausführungskontext: Writer
Generatorklassen-ID: {4dc3bdd4-ab48-4d07-adb0-3bee2926fd7f}
Generatorname: Shadow Copy Optimization Writer
Generatorinstanz-ID: {ebad8318-e988-4d8c-a665-9e6732cc1599}
Record Number: 1037
Source Name: VSS
Time Written: 20090813110006.000000-000
Event Type: Informationen
User:

Computer Name: DrGummischwenge
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\system32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation; Beschreibung = Geplanter Prüfpunkt).
Record Number: 1038
Source Name: System Restore
Time Written: 20090813110008.000000-000
Event Type: Informationen
User:

Computer Name: DrGummischwenge
Event Code: 8211
Message: Der geplante Wiederherstellungspunkt wurde erfolgreich erstellt.
Record Number: 1039
Source Name: System Restore
Time Written: 20090813110008.000000-000
Event Type: Informationen
User:

Computer Name: DrGummischwenge
Event Code: 8224
Message: Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren.
Record Number: 1040
Source Name: VSS
Time Written: 20090813110308.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: DrGummischwenge
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: DRGUMMISCHWENGE$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Zielserver:
Zielservername: localhost
Weitere Informationen: localhost

Prozessinformationen:
Prozess-ID: 0x27c
Prozessname: C:\Windows\System32\services.exe

Netzwerkinformationen:
Netzwerkadresse: -
Port: -

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 3183
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090813101742.781993-000
Event Type: Überwachung erfolgreich
User:

Computer Name: DrGummischwenge
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: DRGUMMISCHWENGE$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7

Anmeldetyp: 5

Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
Prozess-ID: 0x27c
Prozessname: C:\Windows\System32\services.exe

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 3184
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090813101742.781993-000
Event Type: Überwachung erfolgreich
User:

Computer Name: DrGummischwenge
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7

Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 3185
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090813101742.781993-000
Event Type: Überwachung erfolgreich
User:

Computer Name: DrGummischwenge
Event Code: 4904
Message: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: DRGUMMISCHWENGE$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7

Prozess:
Prozess-ID: 0xe8c
Prozessname: C:\Windows\System32\VSSVC.exe

Ereignisquelle:
Quellenname: VSSAudit
Ereignisquellen-ID: 0x3bb277b
Record Number: 3186
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090813110008.047993-000
Event Type: Überwachung erfolgreich
User:

Computer Name: DrGummischwenge
Event Code: 4905
Message: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: DRGUMMISCHWENGE$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7

Prozess:
Prozess-ID: 0xe8c
Prozessname: C:\Windows\System32\VSSVC.exe

Ereignisquelle:
Quellenname: VSSAudit
Ereignisquellen-ID: 0x3bb277b
Record Number: 3187
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090813110008.047993-000
Event Type: Überwachung erfolgreich
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 67 Stepping 3, AuthenticAMD
"PROCESSOR_REVISION"=4303
"NUMBER_OF_PROCESSORS"=2