Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner in WUAUCLT.EXE?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.02.2009, 23:11   #1
KaeferModell
 
Trojaner in WUAUCLT.EXE? - Standard

Trojaner in WUAUCLT.EXE?



Hallo zusammen,

ich habe einen ziemlich neuen PC, auf dem der Virenscanner Bullguard mit einer 90-Tage-Testversion vorinstalliert ist. Seit ich heute Morgen den PC gestartet habe, zeigt mir Bullguard an, dass sich ein Trojaner in der Firefox.exe und in der Wuauclt.exe befindet.

Ich kann mir das irgendwie nicht vorstellen, wollte aber dennoch die Wuauclt.exe mit einem Online-Scanner scannen. Mir wird jedoch der Zugriff verweigert. Angeblich fehlen mir Administratorrechte, was aber nicht stimmt. Laut Eigenschaften hat die Datei allerdings keinen Besitzer und ich kann mich dort auch nicht als Besitzer eintragen.

Weil das Bullguard-Fenster ständig mit dem Hinweis aufpoppt, habe ich die Windows Updates über die Dienste erst mal gestoppt. Danach habe ich nach eurer Anleitung den CCleaner ausgeführt und anschließend mit HijackThis ein Logfile erstellt.


Hier ist das Logfile von HijackThis:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:37:42, on 15.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Gnab\Service\GnabTray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Ulead Systems\AutoDetector\Monitor.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\WTablet\Pen_TabletUser.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
C:\Program Files\BullGuard Software\BullGuard\BullGuard.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\System32\msinfo32.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [GnabTray] C:\Program Files\Common Files\Gnab\Service\GnabTray.exe -checkstart
O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [BullGuard] "C:\Program Files\BullGuard Software\BullGuard\BullGuard.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{49973697-ACBB-4E21-AC05-CFB89D66BA97}: NameServer = 62.220.18.8 89.246.64.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{53665E0A-058B-4D5D-B49A-232483CB558F}: NameServer = 62.220.18.8 89.246.64.8
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard Software - C:\Program Files\BullGuard Software\BullGuard\BullGuardUpdate.exe
O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe

--
End of file - 7666 bytes
         

Hier ist ein Auszug aus dem Bullguard-Logfile:

Code:
ATTFilter
2009/02/15 08:58:00 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 08:59:02 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1056.C:\Windows\system32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:00:39 | C:\Windows\System32\wuauclt.exe [AUTO BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/02/15 09:00:39 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:01:20 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:05:12 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:06:14 | C:\Windows\System32\wuauclt.exe [BLOCKED] [process: 1028.C:\Windows\System32\svchost.exe] [user: N/A] [virus: Trojan.Generic.1433905] [op: OPEN]
2009/02/15 09:06:42 | C:\Windows\System32\wuauclt.exe [AUTO BLOCKED] [process: 2832.C:\Program Files\Mozilla Firefox\firefox.exe] [user: Systemname\Benutzername] [op: OPEN]
         


Kann mir bitte von euch jemand sagen, ob mein PC tatsächlich mit diesem Trojaner verseucht ist oder ob es *blinder Alarm* ist und was ich nun machen muss?


Lieben Gruß

Nicki

Alt 16.02.2009, 02:27   #2
KarlKarl
/// Helfer-Team
 
Trojaner in WUAUCLT.EXE? - Standard

Trojaner in WUAUCLT.EXE?



Hi,

Bullguard benutzt die Virenscannerengine von Bitdefender und die hat gerade mal einen Fehlalarm auf die wuauclt.exe erzeugt. Es ist ja unterdessen Standard, dass alle Virenscanner reihum irgendwelche wesentlichen Dateien von Windows löschen, aber "Bitdefender löscht Windows-Update", das hat schon was

Vermutlich haben einige Leute die Datei jetzt schon gelöscht und haben ein Problem, als vorsichtiger Nutzer hast Du noch mal Glück gehabt.

Gruß, Karl
__________________


Alt 16.02.2009, 15:26   #3
KaeferModell
 
Trojaner in WUAUCLT.EXE? - Standard

Trojaner in WUAUCLT.EXE?



Hallo Karl,

ich danke dir für deine Antwort. Inzwischen haben sich die Virensignaturen vom Bullguard aktualisiert. Danach habe ich die Windows Updates wieder gestartet und nun habe ich Ruhe.

Endlich konnte ich mich mal auf meine weibliche Intuition verlassen.

Ich wünsche dir und allen anderen Usern einen schönen Tag.

Lieben Gruß

Nicki
__________________

Antwort

Themen zu Trojaner in WUAUCLT.EXE?
adobe, besitzer, bho, defender, desktop, ebay, firefox.exe, google, gservice, hijack, hijackthis, internet, internet explorer, logfile, mozilla, rundll, scan, senden, software, svchost.exe, system, trojan.generic., trojaner, updates, virus, vista, windows, windows defender, windows sidebar, windows updates, wuauclt.exe



Ähnliche Themen: Trojaner in WUAUCLT.EXE?


  1. wuauclt.exe 2 mal
    Plagegeister aller Art und deren Bekämpfung - 17.07.2013 (5)
  2. 'TR/Spy.53472.2' [trojan] in C:\WINDOWS\system32\wuauclt.exe
    Log-Analyse und Auswertung - 09.07.2011 (14)
  3. wuauclt.exe: Mehrere exe auf der Festplatte. Troyaner?
    Plagegeister aller Art und deren Bekämpfung - 08.06.2011 (3)
  4. wuauclt.exe erscheint 2 mal in meinem task-manager
    Plagegeister aller Art und deren Bekämpfung - 29.11.2010 (9)
  5. Svchost.exe & wuauclt.exe extrem hohe speicherauslastung
    Log-Analyse und Auswertung - 28.08.2010 (25)
  6. SVchost und wuauclt bremsen mich aus
    Log-Analyse und Auswertung - 07.07.2010 (5)
  7. wuauclt.exe-problem
    Antiviren-, Firewall- und andere Schutzprogramme - 07.05.2010 (6)
  8. wuauclt taucht auf und verschwindet
    Plagegeister aller Art und deren Bekämpfung - 08.02.2010 (3)
  9. Dauerfehlermeldung "wuauclt.exe ...
    Plagegeister aller Art und deren Bekämpfung - 17.01.2010 (18)
  10. wuauclt.exe loswerden
    Plagegeister aller Art und deren Bekämpfung - 01.03.2009 (1)
  11. wuauclt.exe / vbskript - probleme
    Log-Analyse und Auswertung - 05.06.2008 (4)
  12. wuauclt.exe
    Alles rund um Windows - 17.01.2008 (1)
  13. wuauclt.exe...
    Log-Analyse und Auswertung - 25.06.2007 (3)
  14. überlastung und wuauclt.exe
    Log-Analyse und Auswertung - 09.05.2007 (12)
  15. Hilfe: wuauclt.e xe
    Plagegeister aller Art und deren Bekämpfung - 20.01.2005 (11)
  16. Trojaner getarnt als wuauclt.exe?
    Plagegeister aller Art und deren Bekämpfung - 17.10.2004 (5)
  17. ist wuauclt.exe ein trojaner???
    Plagegeister aller Art und deren Bekämpfung - 16.04.2004 (4)

Zum Thema Trojaner in WUAUCLT.EXE? - Hallo zusammen, ich habe einen ziemlich neuen PC, auf dem der Virenscanner Bullguard mit einer 90-Tage-Testversion vorinstalliert ist. Seit ich heute Morgen den PC gestartet habe, zeigt mir Bullguard an, - Trojaner in WUAUCLT.EXE?...
Archiv
Du betrachtest: Trojaner in WUAUCLT.EXE? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.