Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner in WUAUCLT.EXE? (https://www.trojaner-board.de/70068-trojaner-wuauclt-exe.html)

KaeferModell 16.02.2009 00:11
Trojaner in WUAUCLT.EXE?
 
Hallo zusammen,

ich habe einen ziemlich neuen PC, auf dem der Virenscanner Bullguard mit einer 90-Tage-Testversion vorinstalliert ist. Seit ich heute Morgen den PC gestartet habe, zeigt mir Bullguard an, dass sich ein Trojaner in der Firefox.exe und in der Wuauclt.exe befindet.

Ich kann mir das irgendwie nicht vorstellen, wollte aber dennoch die Wuauclt.exe mit einem Online-Scanner scannen. Mir wird jedoch der Zugriff verweigert. Angeblich fehlen mir Administratorrechte, was aber nicht stimmt. Laut Eigenschaften hat die Datei allerdings keinen Besitzer und ich kann mich dort auch nicht als Besitzer eintragen.

Weil das Bullguard-Fenster ständig mit dem Hinweis aufpoppt, habe ich die Windows Updates über die Dienste erst mal gestoppt. Danach habe ich nach eurer Anleitung den CCleaner ausgeführt und anschließend mit HijackThis ein Logfile erstellt.


Hier ist das Logfile von HijackThis:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:37:42, on 15.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Gnab\Service\GnabTray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Ulead Systems\AutoDetector\Monitor.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\WTablet\Pen_TabletUser.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
C:\Program Files\BullGuard Software\BullGuard\BullGuard.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\System32\msinfo32.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [GnabTray] C:\Program Files\Common Files\Gnab\Service\GnabTray.exe -checkstart
O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [BullGuard] "C:\Program Files\BullGuard Software\BullGuard\BullGuard.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{49973697-ACBB-4E21-AC05-CFB89D66BA97}: NameServer = 62.220.18.8 89.246.64.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{53665E0A-058B-4D5D-B49A-232483CB558F}: NameServer = 62.220.18.8 89.246.64.8
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard Software - C:\Program Files\BullGuard Software\BullGuard\BullGuardUpdate.exe
O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe

--
End of file - 7666 bytes

Hier ist ein Auszug aus dem Bullguard-Logfile:

Code:

2009/02/15 08:58:00 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 08:59:02 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1056.C:\Windows\system32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:00:39 | C:\Windows\System32\wuauclt.exe [AUTO BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/02/15 09:00:39 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:01:20 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:05:12 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:06:14 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:06:42 | C:\Windows\System32\wuauclt.exe [AUTO BLOCKED] [process: 2832.C:\Program Files\Mozilla Firefox\firefox.exe] [user: Systemname\Benutzername] [op: OPEN]


Kann mir bitte von euch jemand sagen, ob mein PC tatsächlich mit diesem Trojaner verseucht ist oder ob es *blinder Alarm* ist und was ich nun machen muss?


Lieben Gruß

Nicki

KarlKarl 16.02.2009 03:27
Hi,

Bullguard benutzt die Virenscannerengine von Bitdefender und die hat gerade mal einen Fehlalarm auf die wuauclt.exe erzeugt. Es ist ja unterdessen Standard, dass alle Virenscanner reihum irgendwelche wesentlichen Dateien von Windows löschen, aber "Bitdefender löscht Windows-Update", das hat schon was :D

Vermutlich haben einige Leute die Datei jetzt schon gelöscht und haben ein Problem, als vorsichtiger Nutzer hast Du noch mal Glück gehabt.

Gruß, Karl

KaeferModell 16.02.2009 16:26
Hallo Karl,

ich danke dir für deine Antwort. Inzwischen haben sich die Virensignaturen vom Bullguard aktualisiert. Danach habe ich die Windows Updates wieder gestartet und nun habe ich Ruhe.

Endlich konnte ich mich mal auf meine weibliche Intuition verlassen. :daumenhoc

Ich wünsche dir und allen anderen Usern einen schönen Tag.

Lieben Gruß

Nicki


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55