| |
| |||||||
Log-Analyse und Auswertung: Trojaner in WUAUCLT.EXE?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
16.02.2009, 00:11
| #1 |
| |  Trojaner in WUAUCLT.EXE? Hallo zusammen, ich habe einen ziemlich neuen PC, auf dem der Virenscanner Bullguard mit einer 90-Tage-Testversion vorinstalliert ist. Seit ich heute Morgen den PC gestartet habe, zeigt mir Bullguard an, dass sich ein Trojaner in der Firefox.exe und in der Wuauclt.exe befindet. Ich kann mir das irgendwie nicht vorstellen, wollte aber dennoch die Wuauclt.exe mit einem Online-Scanner scannen. Mir wird jedoch der Zugriff verweigert. Angeblich fehlen mir Administratorrechte, was aber nicht stimmt. Laut Eigenschaften hat die Datei allerdings keinen Besitzer und ich kann mich dort auch nicht als Besitzer eintragen. Weil das Bullguard-Fenster ständig mit dem Hinweis aufpoppt, habe ich die Windows Updates über die Dienste erst mal gestoppt. Danach habe ich nach eurer Anleitung den CCleaner ausgeführt und anschließend mit HijackThis ein Logfile erstellt. Hier ist das Logfile von HijackThis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:37:42, on 15.02.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\SYSTEM32\WISPTIS.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Common Files\Gnab\Service\GnabTray.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Windows\System32\rundll32.exe C:\Program Files\Common Files\Ulead Systems\AutoDetector\Monitor.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Windows\System32\rundll32.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe C:\Program Files\IncrediMail\bin\IMApp.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\system32\WTablet\Pen_TabletUser.exe C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe C:\Program Files\BullGuard Software\BullGuard\BullGuard.exe C:\Program Files\CCleaner\CCleaner.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\System32\msinfo32.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.medion.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.medion.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [GnabTray] C:\Program Files\Common Files\Gnab\Service\GnabTray.exe -checkstart O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Software\BullGuard\bullguard.exe" -boot O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKCU\..\Run: [BullGuard] "C:\Program Files\BullGuard Software\BullGuard\BullGuard.exe" O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU) O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU) O13 - Gopher Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{49973697-ACBB-4E21-AC05-CFB89D66BA97}: NameServer = 62.220.18.8 89.246.64.8 O17 - HKLM\System\CCS\Services\Tcpip\..\{53665E0A-058B-4D5D-B49A-232483CB558F}: NameServer = 62.220.18.8 89.246.64.8 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard Software - C:\Program Files\BullGuard Software\BullGuard\BullGuardUpdate.exe O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe -- End of file - 7666 bytes Hier ist ein Auszug aus dem Bullguard-Logfile: Code:
ATTFilter
2009/02/15 08:58:00 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 08:59:02 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1056.C:\Windows\system32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:00:39 | C:\Windows\System32\wuauclt.exe [AUTO BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/02/15 09:00:39 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:01:20 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:05:12 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:06:14 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:06:42 | C:\Windows\System32\wuauclt.exe [AUTO BLOCKED] [process: 2832.C:\Program Files\Mozilla Firefox\firefox.exe] [user: Systemname\Benutzername] [op: OPEN]
Kann mir bitte von euch jemand sagen, ob mein PC tatsächlich mit diesem Trojaner verseucht ist oder ob es *blinder Alarm* ist und was ich nun machen muss? Lieben Gruß Nicki |
|
16.02.2009, 03:27
| #2 |
| /// Helfer-Team    | Trojaner in WUAUCLT.EXE? Hi,
__________________Bullguard benutzt die Virenscannerengine von Bitdefender und die hat gerade mal einen Fehlalarm auf die wuauclt.exe erzeugt. Es ist ja unterdessen Standard, dass alle Virenscanner reihum irgendwelche wesentlichen Dateien von Windows löschen, aber "Bitdefender löscht Windows-Update", das hat schon was  Vermutlich haben einige Leute die Datei jetzt schon gelöscht und haben ein Problem, als vorsichtiger Nutzer hast Du noch mal Glück gehabt. Gruß, Karl |
|
16.02.2009, 16:26
| #3 |
| | Trojaner in WUAUCLT.EXE? Hallo Karl,
__________________ich danke dir für deine Antwort. Inzwischen haben sich die Virensignaturen vom Bullguard aktualisiert. Danach habe ich die Windows Updates wieder gestartet und nun habe ich Ruhe. Endlich konnte ich mich mal auf meine weibliche Intuition verlassen.  Ich wünsche dir und allen anderen Usern einen schönen Tag. Lieben Gruß Nicki |
|
| Themen zu Trojaner in WUAUCLT.EXE? |
| adobe, besitzer, bho, defender, desktop, ebay, firefox.exe, google, gservice, hijack, hijackthis, internet, internet explorer, logfile, mozilla, plug-in, rundll, scan, senden, software, svchost.exe, system, trojan.generic., trojaner, updates, virus, vista, windows, windows defender, windows sidebar, windows updates, wuauclt.exe |
Linear-Darstellung
