TR/Buzus.ejdf
 

Hallo erstmal an alle,

folgendes:
Ich habe diesen Link zugeschickt bekommen per MSN:

h**p://w*w.photobucket.annieli.com/display_image.php?id=5&image=IMG0737830249202010.JPG

Bei mir hat Antivir Alarm geschlagen und gemeldet, dass es sich um TR/Buzus.ejdf handelt. Eine Freundin hatte weniger Glück. Sie hat gedacht es wäre ein Bild und hat die Datei gespeichert.

Jetzt meine Frage: Wie schlimm ist dieser Trojaner?


Natürlich habe ich zuerst gegooglt. Allerdings nur zu anderen Buzus Formaten etwas gefunden.


Offensichtliche Auswirkung des Trojaners ist erstmal, dass er in regelmäßigen Abständen den Link wieder verschickt. Während ich mit ihr in MSN schreibe bekomme ich von ihr die Nachricht:

"wie findest du das foto :)
h**p://w*w.photobucket.annieli.com/display_image.php?
id=5&image=IMG0737830249202010.JPG"

ohne, dass sie etwas damit zu tun hat.
Was mir auch aufgefallen ist, ist, dass sich der Link mal geändert hat, der in der Nachricht enthalten ist:

h**p://w*w.img34.photo.photoshed.com.au/image_gallery.php?display=PICT0022407040202010.JPG

Ich hoffe, ihr könnt mir helfen und mir sagen worum es sich bei diesem Buzus handelt und wie gefährlich er ist. ;)



Hier noch meine Antivir-Meldungen:

In der Datei 'C:\Users\Mustermann\AppData\Local\Temp\lbw.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.ejbf' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\Mustermann\AppData\Local\Temp\lbw.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.ejbf' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\Mustermann\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\11817G1U\o[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.ejbf' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\Mustermann\AppData\Local\Google\Chrome\User Data\Default\Cache\f_008065'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.ejbf' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

1. Hijackthis-Scanliste:
2. hjtscanlist:
3. CCleaner, Textdatei:





Ok, war alles kein Problem. Wunderbar erklärt. Einzige wo ich ein wenig gebraucht habe, war die Ordneroptionen zu finden. Der beschriebene Weg half bei mir nicht weiter. Ich musste unter Systemsteuerung und dort war dann der Ordner "Ordneroptionen". Hoffe das bringt dir was, allerdings frage ich mich wozu du eine Liste meiner installierten Programme brauchst.. das hat ja eigentlich nichts mit dem Trojaner zu tun oder?^^

MfG

Hi

hab auch auf den Link von diesem Trojaner geklickt.
Ich möchte eigentlich nur sichergehen, dass alles in Ordnung ist.

Ich haben einen Thread offen: TR/Buzus.ejdf.
Da habe ich bereits hjtscans gepostet.

Hab auch mal Malwarebytes drüberlaufen lassen.

Hier der Log:

Ich fände es wirklich super, wenn sich jemand die Mühe machen würde zu erklären, was:
1. ein infizierte Registrierungsschlüssel ist
2. was der so anrichten kann
3. was mit meinem ist
4. ob jetzt alles wieder in Ordnung ist.

Ich INTERESSIERE mich wirklich dafür. :) Und bevor Google mir 10 verschiedene Antworten ausspuckt, frage ich lieber Leute, die es hoffentlich wissen. Muss nicht einfach erklärt sein, ich will ja was lernen. ;)

hi

Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
Deinstalliere unter `Start→ Systemsteuereung→ Programme und Funktionen`
2.
starte dein System neu auf!

3.
Was davon noch existiert, bitte fixen (entweder weil unnötig oder schädlichen Funktionen verfügen bzw verweisen auf Adware ähnliches Verhalten) :
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten)
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
4.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

5.
poste erneut - nach der vorgenommenen Reinigungsaktion:
► TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

1. Malwarebytesscanlist vom 11.06.2010:
2. Malwarebytesscanlist vom 12.06.2010:
3. HiJackThis-Scanliste:

--- --- ---




Ok, habe alle Schritte in der Reihenfolge ausgeführt und darauf geachtet als Administrator alles auszuführen. Der erste Malwarebytes-Scan habe ich gestern schon gemacht. Das war allerdings ein Quickscan.
Beim Neustart nach dem Bereinigen durch Malwarebytes ist plötzlich mein Windows Defender wieder angesprungen als Autostart, obwohl ich den deaktiviert hatte. oO Der ist ja nicht wirklich notwendig oder? Ich hab ja Antivir. (Ich freue mich über Antworten, aber ich würde mich auch freuen, wenn diese Antworten begründet werden.:) Ich möchte es ja schließlich verstehen, und nächstes mal vllt sogar selber anderen helfen können.)

Jetzt hätte ich noch ein paar Fragen.:)
1. Was ist ein infizierter Registrierungsschlüssel?
2. Welche Schäden kann der anrichten?
3. Ist mein Laptop jetzt gefährdet oder wieder save?

Ich würde mich wirklich wahnsinnig freuen, wenn man das erklären würde. Ich interessiere mich dafür und verstehe es auch. Nur fehlt mir viel, viel Erfahrung.

TR/Buzus.ejdf
 

@r4zZ

Ich denke wurde Deine Frage/Dein Problem schon behandelt, also ich kann Deine Panik und Deine Verzweiflung nicht verstehen -> http://www.trojaner-board.de/86991-tr-buzus-ejdf.html
Bitte nicht in die Threads anderer User hineinposten, kann es vorkommen, dass deine Anfrage nicht sofort bearbeitet wird!-> Forumregel/Punkt 4.

-----------------------------------

hi

1. Was ist ein infizierter Registrierungsschlüssel?
einen Registry-Schlüssel kann durch Schädling manipuliert bzw ändert oder gar gelöscht werden - ein Beispiel:
2. Welche Schäden kann der anrichten?
Beliebige Systemfunktionen zu steuern und zu überwachen

3. Ist mein Laptop jetzt gefährdet oder wieder save?

Entsprechend unserer Möglichkeiten ja, aber ansonsten nach Malware Befall 100% sauber bekommt man das System nur, wenn die Festplatte komplett formatiert wird

für eine gründliche Reinigung werden noch einige Schritte nötig:

1.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren (Inhalt markieren und löschen)
lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
c:\windows\temp
- anschließend den Papierkorb leeren

2.

reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

3.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

4.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.

** Wie ist den aktuellen Zustand des Rechners?

zu Punkt 4. nachträglich:

→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

1. Superantispyware Log:


Zu Punkt 4.:
Hatte zu der Zeit kein externes Speichermedium angeschlossen und auch danach keins mehr genutzt.

So... Ich bin zur Zeit noch dabei den Kaspersky Scan zum laufen zu bringen.
Bisher war ich erfolglos. Für Chrome gibt es eine Extension, die es erlaubt in einem Chrome Tab IE laufen zu lassen. Hat Kaspersky aber nicht akzeptiert. Ich muss wohl meine IE updaten. Chrome ist nämlich an sich nicht ActiveX kompatibel.
Ich hab es auch mit Firefox probiert (als Admin natürlich). Hat ganz gut funktioniert. Allerdings nur kurz. Beim Database Update ist es mittendrin abgestürzt. C++ Runtime error! -.- Lass es jetzt grad nochmal bei Firefox durchlaufen. Wenn das nicht klappt, probier ich es mit einem IE update nochmal.

Jetzt wieder Fragen:lach:
1. Was genau willst du wissen mit "was der aktuelle Zustand ist"?
2. Was ist "Standardstufe"? Ich habe einfach mal überall "Mittel" eingestellt.
3. Kann ich irgendwo bei Vista einstellen, dass ich alles als Admin ausführe? Das nervt nämlich immer rechtsklick und wählen.

Ich konnte leider den Autorun nicht wie beschrieben deaktivieren. Ich habe das Windows Update geladen, aber ich konnte im regedit nicht das angegebene Verzeichnis finden.
Bis HKEY_LOCAL_MACHINE / Software / Microsoft / Windows / CurrentVersion / policies stimmt alles. Aber dann gibt es da keinen /Explorer. :S Wie kann das sein? Bin den Weg auch zig mal abgegangen. Stimmt alles. Bei /policies angelangt, gibt es lediglich als Unterpunkte: Attachments, NonEnum, /System. :S :S
Ist natürlich blöd, weil ich würde es schon gern deaktivieren.

So hier noch den Kaspersky Scanbericht:

Hi

Ich möchte nicht unhöflich sein, aber ich fände es toll, wenn mir jemand antworten würde.
Oder zumindest antworten würde, warum mir niemand mehr antwortet.

grüße, razz

hi

! Möchte ich dich noch einmal darauf hinweisen, WIR versuchen Dir gerne helfen, aber WIR arbeiten hier in unserer Freizeit und das Internet ist vor allem nicht unser Arbeitgeber! Also bitte ein wenig Geduld, auch wenn es sich sogar über 1-2 Tage hinzieht...

Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:
Die sind nützliche Programme, die bei Probleme/Notfall sehr hilfreich sein können!

1.
- Malware-Scan mit a-squared Free [/color][/b]
- Ohne Hintergrundwächter durchsucht a-squared den Computer auf div. schädlichen Programmen.
- Also lade a-squared Free von Emsisoft herunter
- Update das Programm und lass dein rechner komplett scannen
- Am Ende des Scans alle Funde löschen lassen und über den Button "Bericht speichern" das Log speichern und hier in den Thread posten.

2.
Führe dann einen Komplett-Systemcheck mit Nod32 - die Scanergebnis als *.txt Dateien speichern)
- (ESET Online Scanner
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

** Gibt es noch Probleme mit dem Rechner?

1.

- hab den Scan durchgeführt. Allerdings wollte der am Ende den Laptop neustarten um einige infizierte Dateien zu löschen.
- hab bestätigen gedrückt
- nach dem Neustart, hab ich aber keine Info von dem Programm bekommen
- als ich a-squared wieder geöffnet habe, fand ich kein Protokoll oder ähnliches, was ich hätte speichern können


2.


Ich hab zur Zeit keine Probleme mit dem Laptop. Kann man denn überhaupt erkennen oder merken, wenn die eigenen Passwörter ausgespäht werden?

Ich denke es kann man vielleicht nicht sofort merken, aber vorher oder später irgendwelche Symptome weist auf jeden Fall darauf hin. z.B der Computer/die Tastatur/Spiele etc reagieren möglicherweise während der Nutzungsphase langsamer usw
Daher ist es auch gute Idee, deine Paswort und Zugangsdaten öfters ändern, am besten von einem anderen Rechner aus!

Lesestoff:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
  
  Zitat:

  Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 2-3 Monate ändern)

• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
  -> Bei der Installation immer mitlesen, Sponsoren und Partnerprogramme, Toolbars etc möglichst abwählen!
  
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com

Ok. Danke.

Werd ich mir zu Herzen nehmen. ;)