Hab ich einen Trojaner?? ("Spy.BuffaMov")
 

Hallo!
Ich habe vorhin von meinem Avira AntiVir die Meldung bekommen, ich hätte einen Trojaner an Bord... Daraufhin habe ich dann erstmal den Befehlt "Zugriff Verweigern" angeklickt, und anschließend mit BitDefender einen Check der Partition durchgeführt. Dieser hat zwar einen Trojaner gefunden, allerdings im "Temp" Ordner, den habe ich unverzüglich gelöscht. Dummerweise hab ich mir jetzt den Pfad nicht aufgeschrieben, an welchem der von Avira entdeckte Trojaner steckt. Ich weiß nur noch dass es eine "A0023261.exe" im Ordner "System32" war, die angeblich mit dem Trojaner "Spy.BuffaMov" infiziert sei.
Nun hab ich hier das Programm HiJackThis entdeckt und gleich einen Scan damit gemacht... Ich habe mich auch durch die Anleitung geschlagen, bis es mir dann irgendwann doch zuviel wurde ;) Es wäre nett, wenn mir jemand die Logfile durchschauen könnte, ob ich nun noch was draufhabe. Danke schonmal im Vorraus :) Gruß Steve

Logfile of HijackThis v1.99.1
Scan saved at 20:45:27, on 22.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\ULI5289\ALi5289.exe
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
F:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Programme\BitDefender9\bdoesrv.exe
F:\Programme\BitDefender9\bdnagent.exe
F:\Programme\BitDefender9\bdswitch.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
F:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Messenger\msmsgs.exe
F:\Programme\Logitech\SetPoint\SetPoint.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
F:\Programme\Ahead\InCD\InCDsrv.exe
E:\Spiele\Steam\steam.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
F:\Programme\BitDefender9\vsserv.exe
F:\Programme\BitDefender9\bdmcon.exe
C:\WINDOWS\system\CmSNXeye.exe
F:\Programme\BitComet\BitComet.exe
F:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
F:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\BitDefender9\bdlite.exe
F:\Programme\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\Programme\BitComet\tools\BitCometBHO_1.1.2.7.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDMCon] F:\PROGRA~1\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "F:\Programme\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "F:\Programme\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "F:\Programme\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] F:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] F:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all links using BitComet - res://F:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://F:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://F:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171840356437
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - F:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - F:\Programme\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hallo

in deinem Hijackthis log ist m.M. nichts auffälliges zu sehen (was aber nichts bedeutet).
Starte mal Antivir und unter Ereignisse --> schau unter "Typ" --> nach einem "Fund" und doppelklick ihn --> kopiere die Meldung ab und poste ihn bitte.
Bei Bitdefender wird es etwas ähnliches geben poste bitte auch hier die angemeckerte Datei mit genauem Pfad sowie die Bezeichnung des Fundes.

Mach bitte auch alle versteckten Datein und Ordner sichtbar und lasse die betroffenen Dateien dann gleich hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

Hi,
Danke erstmal für die Antwort :) Ich habe die Meldung mal aus Avira rauskopiert, das sieht dann so aus:
In der Datei 'C:\System Volume Information\_restore{61A1AB50-992D-4C09-BDC0-81913DFB5769}\RP45\A0023261.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.BuffaMov' [TR/Spy.BuffaMov] gefunden.

Allerdings komme ich an diese Datei leider nicht ran, da mir der Zugriff auf "Systeme Volume Information" verweigert wird, ist ja standard. Hab mich auch noch nie damit beschäftigt wie ich trotzdem an sowas rankomme, da es bisher nicht von Nöten war. Gibt's da eine Möglichkeit?

Außerdem ist mir unter "Fund" nochwas aufgefallen:
In der Datei 'C:\Dokumente und Einstellungen\***\Desktop\Watt_Rechner.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.BuffaMov' [TR/Spy.BuffaMov] gefunden.

Das ist ja der gleiche, aber diese Datei habe ich beim Fund unverzüglich gelöscht!

Hier muss ich leider passen... Was genau meinst du damit? Schon MD5 und SHA1 sind für mich absolute Fremdwörter!
Gruß Steve

PS: Als der Spy.BuffaMov unter "System..." gefunden wurde, hab ich ja den Befehl "Zugriff verweigern" erteilt. Beim anschließenden Virencheck tauchte die Datei auch nicht mehr auf! :confused:

PPS: Das hier ist die von BitDefender gefundene Datei, hat aber wie mir scheint nix damit zu tun und wurde ja auch bereits gelöscht
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ins1.tmp\core.zip=>runner.exe Entdeckt: Adware.Backweb.H

Hallo,
Die Meldung werden wir jetzt mal beerdigen...;)
Zu Grabe tragen wie folgt :

Start > systemsteuerung > Leistung und Wartung > System > Reiter "systemwiederherstellung >Haken rein bei "systemwiederherstellung auf allen Laufwerken deaktivieren"
Kiste runterfahren,Kaffee holen,wieder hochfahren und auf dem selben Weg wie oben den Haken wieder rausnehmen.
Voila ,es kann zum Totenschmaus übergegangen werden...:D
Jetzt wirst du uns aber noch einen EScan liefern.
Zwecks Kontrolle.Halte dich dabei ganz genau an die Anweisungen zur Nutzung.Es ist sehr wichtig das du dabei alles korrekt machst.Ansonsten ist der Scan unbrauchbar....
Du findest ihn unter "Anleitungen,FAQ,Links"
Nochmal , achte auf die Namen und genauen Bezeichnungen.....;)
Irrlicht

hi
Danke erstmal für die Hilfe mit dem ersten Eintrag, ich hab ihn standesgemäß beerdirgt :) Nun gibts allerdings ein Problem...


Mein BitDefender startet jedesmal einen Höllenalarm wenn ich das Ding entpacke, sprich er lässt nicht zu dass ich alle Dateien vollständig/alle entpacke, da in der einen der Virus Datei f:\programme\mwav - antivir\mwav\mwavscan.com
infiziert mit BehavesLike:Win32.FileInfector steckt... Nun bin ich mir fast sicher, dass das nur ne Macke von BitDefender ist, allerdings wollt ich mir doch lieber ne Rückversicherung holen ;)
Gruß Steve

Hallo,
meines Wissens steht in der Anleitung,du sollst deinen Scanner abschalten...:rolleyes:
Um eben genau dieses zu verhindern.Abschalten : in der unteren blauen Leiste mit der Maus auf die Icons.Eines davon gibt sich als Bitti zu erkennen ,rechtsklick und guggen wo ausschalten oder sinngemäßes steht.Dann weiter Anleitung folgen.
...und nochmal ...
Achte darauf welche Version du runterlädst !! Vergleiche die Namen der Versionen !!
Irrlicht

hi
Erstmal zu meiner Verteidigung, ich habe die Anleitung eScan AntiVirus (unterstützt neuere Versionen ab 7.x) auf Schritt und tritt befolgt... Nach Download folgt "Entpacke die Datei mit WinRar", und hier kam der Virusfund. Das man seine Firewall abschalten soll stand nirgends :eek: Aber ich habs jetzt mal gemacht und deinem Urteil vertraut :) Ich werde den Scan mal ausführen und demnächst das Ergebnis posten. Gruß Steve

PS: Die Version die ich heruntergeladen habe, ist einfach die aktuellste von der Seite, welche in der Anleitung unter "Download" verlinkt ist.

Anhang: Ich fürchte das wird nix :( Ich befolge wirklich jeden kleinen Schritt, und am Ende kommt immer wenn ich die mwavscan.com ausführen möchte die Meldung: "Ein an das System angeschlossenes Gerät funktioniert nicht...