Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.11.2009, 20:42   #1
Halfar
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



hallo leute !

vor etwa 30 min bekam ich von meinem antivir die meldung, ich hätte diesen trojaner: TR/Buzus.clsq in einer *.exe datei.
bin jetzt auf der suche nach lösungen wie ich das weg bekomme, weil ich ja gelesen habe,dass das ding nicht ungefährlich ist. bin jetzt nach der anleitung auf dieser seite wie folgt vorgegangen. ccleaner durchgeführt. am ende bleibt eine registrydatei übrig, die sich auch nicht manuell in der registry löschen lässt.

bin im moment bei schritt 2, nämlich Malwarebytes....der läuft jetzt noch.

Hier schonmal meine Hijackthis-log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:02:54, on 26.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
G:\Programme\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
G:\DigitalPersonaPasswordManager 1.0.1\Bin\DPWinLct.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Programme\Avira\Avira\AntiVir Desktop\sched.exe
G:\Programme\Avira\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
G:\DigitalPersonaPasswordManager 1.0.1\Bin\DpHost.exe
C:\WINDOWS\system32\libusbd-nt.exe
G:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
G:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
G:\DigitalPersonaPasswordManager 1.0.1\Bin\DPFUSMgr.exe
G:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
G:\DigitalPersonaPasswordManager 1.0.1\Bin\DPAgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
G:\Programme\Comodo\Firewall\cfp.exe
G:\Programme\Avira\Avira\AntiVir Desktop\avgnt.exe
G:\Programme\Winamp\winampa.exe
G:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
g:\programme\avira\avira\antivir desktop\avcenter.exe
G:\Programme\Avira\Avira\AntiVir Desktop\avscan.exe
G:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - G:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - G:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [DPAgnt] G:\DigitalPersonaPasswordManager 1.0.1\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [COMODO Firewall Pro] "G:\Programme\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "G:\Programme\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "G:\Programme\Avira\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] G:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [DAEMON Tools] "G:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AlcoholAutomount] "G:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Yodm3D] G:\Programme\YodM3D\Yodm3D.exe
O4 - HKCU\..\Run: [ICQ] "G:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://G:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://G:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://G:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://G:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://G:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Wecker-Alarm - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Nach Wecker für Windows exportieren - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: winrkbdc.dll C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: autoplus - C:\WINDOWS\
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\system32\DPWLEvHd.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - G:\Programme\Avira\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - G:\Programme\Avira\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - G:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - G:\CPUCooL\CooLSrv.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - G:\DigitalPersonaPasswordManager 1.0.1\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - G:\DigitalPersonaPasswordManager 1.0.1\Bin\DpHost.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - G:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: NBService - Nero AG - G:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - G:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - Unknown owner - G:\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe (file missing)
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - Unknown owner - G:\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - G:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 9255 bytes


ist es wirklich so gefährlich ? muss ich mir kummer machen ??? AAAANGGST :-)

vielen dank an euch schonmal.

gruß halfar

Alt 26.11.2009, 20:52   #2
undoreal
/// AVZ-Toolkit Guru
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



Halli hallo.

Dein System stammt aus dem Mittelalter.

Service Pack 3 ist Pflicht! Bitte installiere das nachdem wir mit der Bereinigung fertig sind.

Poste jetzt erstmal zwei AVZ logs und hänge sie an deinen nächsten Post an.

Poste außerdem folgende GMER logs:

GMER - Rootkit Detection
  • Lade GMER von hier herunter. (Etwas weiter unten auf der Seite findet sich der Button "Download EXE". Es wird ein zufälliger Dateiname erzeugt.)
  • Doppelklicke die zufälligerDateiname.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten


Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!
__________________

__________________

Alt 26.11.2009, 21:00   #3
Halfar
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



okay...hört sich sehr kompliziert an. aber wenn du mir damit helfen kannst dann werd ich wohl das durcjmachen müssen. schonmal danke!!

soll ich Malwarebytes abbrechen oder trotzdem das ganze durchmachen?
__________________

Alt 26.11.2009, 21:02   #4
undoreal
/// AVZ-Toolkit Guru
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



Ist nicht kompliziert. MBMA kannst du ruhig weiterlaufen lassen und dann den Bericht hier posten.

Lies dir für die anderen Sachen einfach in Ruhe die Anleitungen durch und arbeite sie Schritt für Schritt ab dann ist das garnicht wild.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 26.11.2009, 21:40   #5
Halfar
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



hey hier die AVZ logs

ich mach dann ma weiter ?!


Alt 26.11.2009, 21:43   #6
Halfar
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



mit der gmer.exe lässt sich nichts nafangen. wenn ich das programm starte kommt die windows fehlermeldung "...hat ein Problem festgestellt..."
was tun?

Alt 26.11.2009, 23:25   #7
undoreal
/// AVZ-Toolkit Guru
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



Du hast AVZ nicht geupdated oder? Hast du das Standard Skript Nummer 5. Update ausgeführt? Befindet sich im AVZ Ordner ein Unterordner der Base heisst und in dem sich viele Dateien befinden?


Wir müssen den MBR reparieren:

XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn du dazu aufgefordert wirst, wähle die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil des Setups startet, wähle die Option zum Reparieren oder Wiederherstellen, indem du die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangst du zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gibst du 'exit' ein.



Danach führe mit AVZ folgendes Skript aus:

Code:
ATTFilter
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\System32\Drivers\aogeejxv.SYS');
 DeleteFile('C:\WINDOWS\system32\drivers\ACEDRV07.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ACEDRV08.sys');
 DeleteFileMask('C:\WINDOWS\system32\drivers', 'ACEDRV*.*' ,true);
 DeleteFile('C:\WINDOWS\System32\Drivers\ak3vrbln.SYS');
 DeleteFile('spzn.sys');
 DelCLSID('855F3B16-6D32-4fe6-8A56-BBB695989046');
 DelCLSID('7B499570-29C5-4a80-9F57-94A420D140CE');
 DelCLSID('92780B25-18CC-41C8-B9BE-3C9C571A8263');
 DelCLSID('1E796980-9CC5-11D1-A83F-00C04FC99D61');
 DelCLSID('855F3B16-6D32-4fe6-8A56-BBB695989046');
 DeleteFile('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\tdc.ocx');
 DelCLSID('d7ca437757bb79190d8fe0f22734e38b');
 DeleteFileMask('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b', '*.*', true);
 DleteDirectory('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b');
 QuarantineFile('C:\WINDOWS\DPPWDFLT.dll');
 QuarantineFile('G:\Programme\YodM3D\Yodm3D.exe');
 DeleteFile('spee.sys');
BC_ImportAll; 
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
         
Führe nach dem Neustart folgendes Skript aus:
Code:
ATTFilter
begin
CreateQuarantineArchive('C:\Quarantine.zip');
end.
         
Lade uns die C:\quarantine.zip auf den Uploadchannel hoch: http://www.trojaner-board.de/54791-a...ner-board.html

Bitte deinstalliere Deamon Tools über die Systemsteuerung.
Während der Deinstallation musst du den Rechner neustarten.

Danach downloade dir das Tool hier: http://www.trojaner-board.de/redirec...t-v162-x86.exe
Starte es durch einen Doppelklick. Im anschließenden Dialog wirst du den "Uninstall" Button finden. Betätige diesen um SPTD zu deinstallieren.
Starten den Rechner danach neu.

Räume mit dem CCleaner auf (Punkte 1&2).


Lösche GMER komplett.

Lade es dann neu herunter und versuche es zu starten.
Poste das log.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Geändert von undoreal (26.11.2009 um 23:59 Uhr)

Alt 27.11.2009, 13:31   #8
Halfar
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



also wenn ich in der wiederherstellungskonsole bin und den befehl eingeb, warnt er mich, dass danach schädigungen da sein könnten und ich keinen zugriff mehr auf festplatten habe. soll ich weitermachen ?

reicht es nicht einfach meine festplatte komplett zu formatieren ?

Alt 27.11.2009, 13:32   #9
undoreal
/// AVZ-Toolkit Guru
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



Nein, der MBR muss auf jeden Fall neu geschrieben werden.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 27.11.2009, 13:49   #10
Halfar
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



wenn ich das skript einfüge und einen check syntax mache meldet er mir einen fehler. trotzdem weitermachen?

error: not enough actual parameters at position 19:16

Alt 27.11.2009, 13:55   #11
undoreal
/// AVZ-Toolkit Guru
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



Hast du den MBR neuschreiben lassen?

Neues Skript:
Code:
ATTFilter
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\System32\Drivers\aogeejxv.SYS');
 DeleteFile('C:\WINDOWS\system32\drivers\ACEDRV07.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ACEDRV08.sys');
 DeleteFileMask('C:\WINDOWS\system32\drivers', 'ACEDRV*.*' ,true);
 DeleteFile('C:\WINDOWS\System32\Drivers\ak3vrbln.SYS');
 DeleteFile('spzn.sys');
 DelCLSID('855F3B16-6D32-4fe6-8A56-BBB695989046');
 DelCLSID('7B499570-29C5-4a80-9F57-94A420D140CE');
 DelCLSID('92780B25-18CC-41C8-B9BE-3C9C571A8263');
 DelCLSID('1E796980-9CC5-11D1-A83F-00C04FC99D61');
 DelCLSID('855F3B16-6D32-4fe6-8A56-BBB695989046');
 DeleteFile('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\tdc.ocx');
 DelCLSID('d7ca437757bb79190d8fe0f22734e38b');
 DeleteFileMask('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b', '*.*', true);
 DleteDirectory('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b');
 QuarantineFile('C:\WINDOWS\DPPWDFLT.dll', 'C:\quarantine.zip');
 QuarantineFile('G:\Programme\YodM3D\Yodm3D.exe', 'C:\quarantine.zip');
 DeleteFile('spee.sys');
BC_ImportAll; 
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
         
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 27.11.2009, 13:56   #12
Halfar
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



ja hab ich. ok synthax ist jetzt korrekt

Alt 27.11.2009, 13:59   #13
Halfar
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



neuer fehler beim ausführen: failed to set data for Delfile1171

Alt 27.11.2009, 14:03   #14
Halfar
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



okay habs nochmal durchführen lassen und jetzt hats gefunzt. ich starte den pc neu

Alt 27.11.2009, 14:15   #15
Halfar
 
TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe



bei der zweiten skripteingabe (erstellen der quarantine.zip) kommt bei check synthax: Error:Undeclared Identifier: CreateQuarantineArchive at position 2:24

Antwort

Themen zu TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe
adobe, antivir, antivir guard, avira, bho, desktop, downloader, excel, explorer, firefox, firewall, gefährlich ?, gupdate, hkus\s-1-5-18, internet, internet explorer, internet security, löschen, magix, mozilla, mssql, programme, rundll, security, software, system, tr/buzus.clsq, trojaner, windows, windows xp



Ähnliche Themen: TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe


  1. Windows Vista: Anti-Vir hat TR/Buzus.KK.1425 gefunden und in Quarantäne gegeben.
    Log-Analyse und Auswertung - 25.01.2014 (3)
  2. Nach Download einer Amazon-Rechnung (nicht geöffnet) TR/Buzus Trojaner per Avira gefunden nach Virenprüfung hier der Bericht
    Log-Analyse und Auswertung - 16.09.2013 (6)
  3. Win32.Downloader.gen auf meinem Rechner gefunden...
    Plagegeister aller Art und deren Bekämpfung - 17.07.2013 (17)
  4. TR/Sirefef.P, TR/Rogue.kdz, TR/Buzus & BDS/ZeroAccess.Gen gefunden - Anfänger! [Vista]
    Plagegeister aller Art und deren Bekämpfung - 11.02.2013 (43)
  5. JS: Downloader-BQF [Trj] (Engine B) auf PC gefunden und falsch reagiert
    Plagegeister aller Art und deren Bekämpfung - 09.09.2012 (4)
  6. Kaspersky gefunden Trojan-Downloader.JS.Expack.xw
    Log-Analyse und Auswertung - 30.07.2012 (1)
  7. Trojaner TR/Buzus.iias + TR/Buzus.ihys + Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akm
    Plagegeister aller Art und deren Bekämpfung - 14.09.2011 (38)
  8. Buzus Trojaner gefunden, liegt in Quarantäne benötige aber noch Ratschläge
    Log-Analyse und Auswertung - 24.05.2010 (4)
  9. TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 23.12.2009 (9)
  10. Trojan-Downloader.JS.Gumblar.a gefunden
    Plagegeister aller Art und deren Bekämpfung - 28.05.2009 (0)
  11. Trojan.downloader gefunden, nach löschen sauber?
    Log-Analyse und Auswertung - 28.04.2009 (0)
  12. Trojaner:Dropper, Downloader, Buzus
    Plagegeister aller Art und deren Bekämpfung - 03.02.2009 (28)
  13. Virenfund: Buzus.rwd, winupd.exe. Keine Information gefunden.
    Plagegeister aller Art und deren Bekämpfung - 05.11.2008 (8)
  14. Trojaner Downloader.Win32.Agent variant gefunden
    Mülltonne - 30.10.2008 (0)
  15. Mehrere Trojaner bzw Viren gefunden ( u.a. TR/Downloader.Gen)
    Log-Analyse und Auswertung - 28.10.2008 (1)
  16. Trojan.Downloader.Zlob.cmx gefunden!!!!
    Plagegeister aller Art und deren Bekämpfung - 22.10.2007 (1)
  17. downloader.agent.5.f mit avg gefunden
    Log-Analyse und Auswertung - 06.01.2005 (3)

Zum Thema TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - hallo leute ! vor etwa 30 min bekam ich von meinem antivir die meldung, ich hätte diesen trojaner: TR/Buzus.clsq in einer *.exe datei. bin jetzt auf der suche nach lösungen - TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe...
Archiv
Du betrachtest: TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.