Windows Gaming V4 ViRUS

[NSK]

Hallo, schon das nächste Problem.
Ich habe bei mir vor 2 Tagen Windows Gaming Edition V4 installiert.
Hatte kein Antivir und heute habe ich es installiert, also Antivir.
Dann habe ich gemerkt das die ganze Version Virenverseucht ist.
Da ich den PC eines Verwandten neu Aufgesetzt habe,auch mit diesem Windows Zeugs. Da ich den PC morgen zurückgeben muss, will ich nicht formatieren, bei mir auch nicht.
Wer weiß etwas?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:05:21, on 12.08.2009
Platform: Windows XP SP3, v.3244 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3244)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\vVX3000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgr.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User '?')
O4 - HKUS\S-1-5-21-1547161642-1500820517-1801674531-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3295 bytes

HiJACKLOG

Danke
MfG

[mbeezy]

O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgr.exe

Lad das mal bei Virustotal / Anubis hoch.

[gf0x]

Ich rate prinzipiell jedem ab, solche Gaming Editions als Haupt OS einzusetzen.

advpack.dll --> Wird auch vom cleanen Windows zum laden von .inf Dateien genutzt.

winudpmgr.exe --> Kenn ich noch aus alten Trojanerboard Zeiten - die wird generell gerne als IRC.Bot Gen verwendet.

Aber so oder so fehlt mir hier einfach der Antiviren Scanlog inkl. Malwarebytes Log um genaueres zu sagen.

[NSK]

Habs mit Antivir gescannt:
2x Lol.exe gefunden
1x winudpmgr.exe
1x A0004683.exe

Hier der Log von einem der 4:

Die Datei 'C:\System Volume Information\_restore{4B290FB6-B2AE-4065-B0CC-774D44E2E90F}\RP8\A0004683.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.kdx.13' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ab33eb2.qua' verschoben!

Sind alles TR/Buzus.kdx.13

Naja am Anfang hatte ich auch bedenken sie zu Downloaden, aber hatte davor eine ältere Version die nicht verseucht war.
Und dannach ein normales Win auch nicht verseucht.
Ausserdem war es zu verlockend es zu downloaden
200MB und schneller als das normale
Allerdings habe ich jetzt die 4 Dateien gelöscht, ich denke nicht das damit der Trojaner weg ist.

MfG

[mbeezy]

Die Datei 'C:\System Volume Information\_restore{4B290FB6-B2AE-4065-B0CC-774D44E2E90F}\RP8\A0004683.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.kdx.13' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ab33eb2.qua' verschoben!

Die Datei liegt in der Systemwiederherstellung. Löschst du dadurch, dass du eben jene deaktivierst und wieder aktivierst, AV dabei ausschalten.

Rest konnte sicher gelöscht werden?

[SubZero1993]

Wieso sich ein vermutlich verseuchtes Windows ziehen wenn man das auch selber machen kann?

Für XP: nLite - http://www.nliteos.com/download.html
Für Vista: vLite - http://www.vlite.net/download.html

tuts gibt es eig. genug und selbsterklärend ist es eig. auch^^

[gf0x]

Hmn. Buzus sagt mir atm nix.

Liegen/lagen die Fundorte des Virus alle im _restore Ordner?

Wenn ja dann

1.) Deaktiviere die Systemwiederherstellung
2.) Lösche sämtliche Wiederherstellungspunkte die aufzurufen sind
3.) Starte den PC neu
4.) (Systemwiederherstellung aktivieren)

Somit kriegt man die meisten Viecher aus dem Wiederherstellungsordner herraus.

Allerdings solltest du noch Malwarebytes durchscannen lassen.

[NSK]

Ich poste mal alles:
1.

Die Datei 'C:\System Volume Information\_restore{4B290FB6-B2AE-4065-B0CC-774D44E2E90F}\RP8\A0004683.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.kdx.13' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ab33eb2.qua' verschoben!

2.

Code:

Die Datei 'C:\Dokumente und Einstellungen\Gamer\7zS56E.tmp\lol.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.kdx.13' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b9bf3a9.qua' verschoben!

3.

Die Datei 'C:\WINDOWS\system32\config\systemprofile\7zS56E.t mp\lol.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.kdx.13' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aef3ef1.qua' verschoben!

4.

Die Datei 'C:\Dokumente und Einstellungen\Default User\7zS56E.tmp\lol.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.kdx.13' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aef3ef0.qua' verschoben!

Das mit der Systemwiederherstellung werde ich machen, dafür schonmal danke.
nLite? Ich werds mal versuchen was ich hinbekomme