TR/Buzus.ddsl hallo zusammen! seit gestern abend habe ich einen virus (siehe überschrift) auf dem rechner und leider habe ich null bis gar keine ahnung von computern:(! beim googlen war ich leider nicht sehr erfolgreich bei der problemlösung. ich benutze antivir als programm und habe bereits 4 dateien gelöscht, was auch problemlos ging. unter "übersicht", "ereignisse" bei antivir steht allerdings auch noch dies: - Die Datei 'C:\Programme\Office\EQNEDT32FormelEditor.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.ddsl' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb59777.qua' verschoben!- beim letzten virenscann hat antivir keine viren mehr gefunden. jetzt habe ich mal einige frage an euch: 1. wie gehe ich am besten mit dem trojaner in quarantäne um? 2. muss ich angst um mein online-konto, ebaydaten, usw haben bzw muss/sollte ich unbedingt alle kennwörter ändern? 3. soll ich von meinen pc aus im moment besser gar nicht mehr online gehen? 4. muss ich den rechner auf jeden fall neu formatieren? wenn ja, 5. wie sicher ich meine dateien? ich bin für jede hilfe echt tausendfach dankbar, weil ich grad echt aufgeschmissen bin! vielen dank an alle!!! |
Zitat:
Irgendwie hab ich den Eindruck, dass das ein Fehlalarm ist. Wurde AntiVir bei Dir so eingestellt wie unten zu sehen ist? Wenn überall ein Haken drin ist, ist es zu empfindlich und es hagelt Fehlalarme! http://blog.freeware.de/uploads/anti...kategorien.jpg |
Wo hast Du diese Officeversion her? Von einer Original-CD? Oder war es schon vorinstalliert? Welche Officeversion ist das? also ich habe windows xp drauf und die officeversion müsste von einer cd sein (office 2007?!....wo sehe ich das?) Irgendwie hab ich den Eindruck, dass das ein Fehlalarm ist. Wurde AntiVir bei Dir so eingestellt wie unten zu sehen ist? Wenn überall ein Haken drin ist, ist es zu empfindlich und es hagelt Fehlalarme! von deinem bild sind bei mir ebenfalls die 4 gleichen sachen markiert plus adware und adware/spyware...die da nicht zu sehen sind. :dankeschoen: UND DANKE VORAB! |
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
TR/Buzus.ddsl malware hat 2 infizierte objekte erkannt: hijack.help + hijack.control hab ich beide gelöscht und hier der bericht: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4435 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 16.08.2010 12:37:39 mbam-log-2010-08-16 (12-37-39).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|R:\|) Durchsuchte Objekte: 161845 Laufzeit: 46 Minute(n), 43 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) und hier noch beide berichte von OTL: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 -- File not found "C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.) "C:\Programme\SopCast\SopCast.exe" = C:\Programme\SopCast\SopCast.exe:*:Disabled:SopCast Main Application -- (www.sopcast.com) "C:\Programme\SopCast\adv\SopAdver.exe" = C:\Programme\SopCast\adv\SopAdver.exe:*:Disabled:SopCast Adver -- (www.sopcast.com) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{0EF62E36-F4DB-416E-A4B0-3980E08B0C50}" = Dell Mobile Broadband Card Utility "{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate "{20AC583C-A6FB-410A-807D-25308225C201}" = Paint.NET v3.35 "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3E864262-1415-4308-9FF1-870BB20ED45D}" = Adobe Shockwave Player "{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker "{42929F0F-CE14-47AF-9FC7-FF297A603021}" = Dell Resource CD "{52A7C6A6-6B88-47D1-922E-9F8A7E089E6A}" = Intel(R) PROSet/Wireless WiFi-Software "{59F6A514-9813-47A3-948C-8A155460CC2A}" = RICOH R5C83x/84x Media Driver x86 Ver.3.34.03 "{5B14E062-97A1-11D3-B2C8-00C0F014C0F2}" = RamDisk Plus 8.0 Desktop Edition "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5 "{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 "{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec "{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP "{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar "{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player "{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU "{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Dell Touchpad "{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio "{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}" = NVIDIA PhysX "{C9B26742-06BE-3B75-B1DE-7B91B5956A04}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30304 "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2 "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2C06&SUBSYS_14F1000F" = Conexant HDA D330 MDC V.92 Modem "Creative OEM002" = Laptop Integrated Webcam Driver (1.04.01.1011) "DXAddon" = DirectX 9.0c Zusatzdateien "FileZilla Client" = FileZilla Client 3.1.0.1 "Foxit Reader" = Foxit Reader "HijackThis" = HijackThis 2.0.2 "ICQToolbar" = ICQ Toolbar "ie7" = Internet Explorer 7 "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "MozBackup" = MozBackup 1.4.9 "Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8) "Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24) "Notepad++" = Notepad++ "NVIDIA Display Control Panel" = NVIDIA Display Control Panel "NVIDIA Drivers" = NVIDIA Drivers "NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager "ProInst" = Intel PROSet Wireless "Runtimes" = Allgemeine Runtime Dateien "SopCast" = SopCast 3.2.9 "VLC media player" = VideoLAN VLC media player 0.8.6i "WinRAR archiver" = WinRAR "XpsEPSC" = XML Paper Specification Shared Components Pack 1.0 "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 "XPSP3UPPACK" = Sereby's XP SP3 Updatepack Version 3.8.7 "Xvid_is1" = Xvid 1.1.3 final uninstall ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "TempdirPortable_ccecc08b" = TempdirPortable (VMware ThinApp) ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 06.06.2010 14:24:16 | Computer Name = GIU-LAPTOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 07.06.2010 04:28:45 | Computer Name = GIU-LAPTOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 09.06.2010 15:53:07 | Computer Name = GIU-LAPTOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 10.06.2010 04:04:49 | Computer Name = GIU-LAPTOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 10.06.2010 08:03:22 | Computer Name = GIU-LAPTOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 10.06.2010 13:34:53 | Computer Name = GIU-LAPTOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 10.06.2010 18:42:29 | Computer Name = GIU-LAPTOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 11.06.2010 02:09:04 | Computer Name = GIU-LAPTOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 11.06.2010 17:09:55 | Computer Name = GIU-LAPTOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . Error - 12.06.2010 02:07:41 | Computer Name = GIU-LAPTOP | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved . [ System Events ] Error - 03.07.2010 09:06:32 | Computer Name = GIU-LAPTOP | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.1.2 für die Netzwerkkarte mit der Netzwerkadresse 001F3C4CBF95 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 14.07.2010 04:24:37 | Computer Name = GIU-LAPTOP | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.1.2 für die Netzwerkkarte mit der Netzwerkadresse 001F3C4CBF95 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 14.07.2010 15:02:35 | Computer Name = GIU-LAPTOP | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.1.2 für die Netzwerkkarte mit der Netzwerkadresse 001F3C4CBF95 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 15.07.2010 06:00:28 | Computer Name = GIU-LAPTOP | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.1.2 für die Netzwerkkarte mit der Netzwerkadresse 001F3C4CBF95 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 29.07.2010 05:06:20 | Computer Name = GIU-LAPTOP | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.1.2 für die Netzwerkkarte mit der Netzwerkadresse 001F3C4CBF95 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 09.08.2010 12:31:45 | Computer Name = GIU-LAPTOP | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.178.22 für die Netzwerkkarte mit der Netzwerkadresse 001F3C4CBF95 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 14.08.2010 09:41:07 | Computer Name = GIU-LAPTOP | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.1.2 für die Netzwerkkarte mit der Netzwerkadresse 001F3C4CBF95 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 14.08.2010 21:06:28 | Computer Name = GIU-LAPTOP | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.1.2 für die Netzwerkkarte mit der Netzwerkadresse 001F3C4CBF95 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 15.08.2010 03:10:20 | Computer Name = GIU-LAPTOP | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.1.2 für die Netzwerkkarte mit der Netzwerkadresse 001F3C4CBF95 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 15.08.2010 10:34:52 | Computer Name = GIU-LAPTOP | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.1.2 für die Netzwerkkarte mit der Netzwerkadresse 001F3C4CBF95 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). < End of report > UND OTL Logfile: Code: OTL logfile created on: 16.08.2010 13:05:26 - Run 1 |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTL Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
DONE! ich musste den rechner neustarten. hier der logbericht: All processes killed ========== OTL ========== ADS C:\Dokumente und Einstellungen\Giu\Eigene Dateien\Caritas:Roxio EMC Stream deleted successfully. ADS C:\Dokumente und Einstellungen\Giu\Desktop\crcl-bucket.list.xvid.avi:Roxio EMC Stream deleted successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes User: Giu ->Temp folder emptied: 281760 bytes ->Java cache emptied: 1521511 bytes ->FireFox cache emptied: 96341671 bytes ->Flash cache emptied: 43322 bytes User: LocalService User: NetworkService ->Temp folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 651010 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 29770534 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 123,00 mb OTL by OldTimer - Version 3.2.10.0 log created on 08162010_224224 Files\Folders moved on Reboot... Registry entries deleted on Reboot... hab ich jetzt noch weitere aktivitäten vor mir? und was mach ich dem ding in antivir quarantäne? einfach löschen?!? |
Zitat:
Bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
hmm, habe combofix runtergeladen. ist allerdings direkt unter downloads gespeichtert worden (wo stelle ich das um?) und somit konnte ich den namen/die datei nicht direkt ändern. habe es jetzt auf den desktop gezogen......kann/soll ich den namen nachträglich ändern??? DANKE:)! |
Geht nicht Down per Rechtsklick => Ziel speichern unter? Ich nehme mal Du surfst mit Firefox. Wenn ja, stell ihn so ein, dass er jedesmal nachfragen soll, wo was heruntergeladen werden soll (Einstellungen, Allgemein) |
sorry sorry....ich war ein paar tage nicht online, aber hier das ergebnis: Combofix Logfile: Code: ComboFix 10-08-25.01 - Giu 26.08.2010 17:44:30.1.2 - x86 |
sorry sorry....ich war ein paar tage nicht online, aber hier das ergebnis: Combofix Logfile: Code: ComboFix 10-08-25.01 - Giu 26.08.2010 17:44:30.1.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:46 Uhr. |
Copyright ©2000-2024, Trojaner-Board