Buieif - Paules-PC-Forum.de

zimpi · 03.02.2012, 21:42

Hallo, weis jemand was es sich mit der datei Buieif.exe aufsich hat, habe win7 und die datei befindet sich in der msconfig unter systemstart es heisst dort die datei soll im appdata/roaming ordner sein was sie aber nicht ist, wenn ich nach ihr suchen lasse befindet sie sich in windows/prefetch

würde mich einfach intressieren um was es sich handelt, vielleicht was bösartiges ?

MfG
Zimpi

**AHT** · 03.02.2012, 21:44

Vermutung: ZBOT Trojaner.
Das tun:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Kein Onlinebanking mit dem Gerät machen, keine Einkäufe tätigen.

***schotti111*** · 03.02.2012, 22:00

Hallo,

da das Problem schon fast erkannt wurde, habe ich den Beitrag auch mal in das richtige Unterforum geschoben...

zimpi · 03.02.2012, 22:01

Danke für die schnelle "antwort" hier das scanergebniss

File-Upload.net - PPF_Scan1.rar

**AHT** · 03.02.2012, 22:10

Verdacht scheint sich zu bestätigen.
Folgendes tun:

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

SEND_MESSAGE->89.166.193.11
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FILE->89.166.193.11
->81
->C:\Users\Drip\AppData\Roaming\Buieif.exe
SLEEP->24000
END->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff.
Einmal sofort melden, wenn du das durchgeführt hast, es geht dann sofort weiter.

**AHT** · 03.02.2012, 22:15

Zusätzlich zu dem ZBOT scheint noch ein zweites RootKit zu laufen.

zimpi · 03.02.2012, 22:19

Habs ausgeführt, firewall hat sich ned gemeldet

**AHT** · 03.02.2012, 22:31

Jetzt versuchen wir den Dingern den Saft abzudrehen.

Folgendes tun:

Rechner im abgesicherten Modus starten (F8 bei Systemstart klicken).
Im abgesicherten Modus PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_DELETE_VALUE->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
->Buieif
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\X6va005>C:\PPFS_Sicherung\X6va005.reg
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->X6va005
MOVE_FILE_ON_REBOOT->C:\Users\Drip\AppData\Roaming\Buieif.exe>C:\PPFS_Sicherung\Buieif.ex_
MOVE_FILE_ON_REBOOT->C:\Users\Drip\AppData\Local\Temp\0053E0A.tmp>C:\PPFS_Sicherung\0053E0A.tm_
REBOOT->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Wenn alles klappt, startet der Rechner dann neu.
Einmal melden, ob er neu gestartet ist.

Egal ob er von selbst neu startet oder nicht, mache danach das:

Rechner normal starten.
Lade dir dann bitte Combofix
ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen (vor dem Ausführen aber unbedingt dein Antivirenprogramm beenden - den Guard stoppen!)
klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung)
nichts machen, keine Mausbewegung, abwarten der PC startet neu.
Das Log, das erscheint, in eine Textdatei kopieren, die Datei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und den Downloadslink posten.

zimpi · 03.02.2012, 22:42

hat von selbst neugestartet

zimpi · 03.02.2012, 22:50

File-Upload.net - ComboFix.txt

**AHT** · 03.02.2012, 22:50

Wunderbar, dann haben wir den zwei Sachen schon mal die Starteinträge geklaut.

**AHT** · 03.02.2012, 22:54

Auf deinem Rechner müsste sich ein Ordner mit dem Namen C:\PPFS_Sicherung befinden. Ist der leer oder sind da Dateien drin?

zimpi · 03.02.2012, 22:55

eine datei namens X6va005.reg ist drinn

**AHT** · 03.02.2012, 22:58

Download : TDSSKiller.zip

Lade die TDSSKiller.zip herunter und entpacken sie auf dem Desktop.
Starte die Datei TDSSKiller.exe
Klicke auf Change parameters
Setze einen Haken bei Verify driver digital signatures und Detect TDLFS file system
Klick auf OK und anschließend auf Start scan
Warte bis zum Ende der Untersuchung .
Sollten Threats gefunden werden so wähle Skip aus.
Bestätige unten Links mit Continue
Schließe das Fenster vom TDSSKiller
Navigiere nun zu C:
Lade dort das Log TDSSKiller.2.6.14.0_Tag.Monat.Jahr_Datum_log bitte bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

zimpi · 03.02.2012, 23:01

File-Upload.net - TDSSKiller.2.7.9.0_03.02.2012_22.59.26_log.txt

03.02.2012, 21:42	#1 (Direktlink)
zimpi Erfolgreich angemeldet Registriert seit: 15.09.2011 Beiträge: 11	Buieif Hallo, weis jemand was es sich mit der datei Buieif.exe aufsich hat, habe win7 und die datei befindet sich in der msconfig unter systemstart es heisst dort die datei soll im appdata/roaming ordner sein was sie aber nicht ist, wenn ich nach ihr suchen lasse befindet sie sich in windows/prefetch würde mich einfach intressieren um was es sich handelt, vielleicht was bösartiges ? MfG Zimpi

03.02.2012, 21:44	#2 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Vermutung: ZBOT Trojaner. Das tun: Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. Kein Onlinebanking mit dem Gerät machen, keine Einkäufe tätigen. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

03.02.2012, 22:00	#3 (Direktlink)
*schotti111* Administrator Registriert seit: 29.12.2003 Ort: östlich von Essen Alter: 62 Beiträge: 6.878	Hallo, da das Problem schon fast erkannt wurde, habe ich den Beitrag auch mal in das richtige Unterforum geschoben... __________________ . Beste Grüße und allzeit gutes Surfen wünscht der schotti111 Links die geklickt werden dürfen!. . Die Würde des Menschen ist unantastbar! Neu: Mein Blog!

03.02.2012, 22:10	#5 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Verdacht scheint sich zu bestätigen. Folgendes tun: PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: SEND_MESSAGE->89.166.193.11 ->81 ->Hallo, der Client will was! SLEEP->24000 SEND_FILE->89.166.193.11 ->81 ->C:\Users\Drip\AppData\Roaming\Buieif.exe SLEEP->24000 END-> Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff. Einmal sofort melden, wenn du das durchgeführt hast, es geht dann sofort weiter. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

03.02.2012, 22:15	#6 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Zusätzlich zu dem ZBOT scheint noch ein zweites RootKit zu laufen. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

03.02.2012, 22:01	#4 (Direktlink)
zimpi Erfolgreich angemeldet Registriert seit: 15.09.2011 Beiträge: 11	Danke für die schnelle "antwort" hier das scanergebniss File-Upload.net - PPF_Scan1.rar

03.02.2012, 22:19	#7 (Direktlink)
zimpi Erfolgreich angemeldet Registriert seit: 15.09.2011 Beiträge: 11	Habs ausgeführt, firewall hat sich ned gemeldet

03.02.2012, 22:31	#8 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Jetzt versuchen wir den Dingern den Saft abzudrehen. Folgendes tun: Rechner im abgesicherten Modus starten (F8 bei Systemstart klicken). Im abgesicherten Modus PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: CREATE_FOLDER->C:\PPFS_Sicherung REGISTRY_DELETE_VALUE->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ->Buieif REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\X6va005>C:\PPFS_Sicherung\X6va005.reg REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services ->X6va005 MOVE_FILE_ON_REBOOT->C:\Users\Drip\AppData\Roaming\Buieif.exe>C:\PPFS_Sicherung\Buieif.ex_ MOVE_FILE_ON_REBOOT->C:\Users\Drip\AppData\Local\Temp\0053E0A.tmp>C:\PPFS_Sicherung\0053E0A.tm_ REBOOT-> Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Wenn alles klappt, startet der Rechner dann neu. Einmal melden, ob er neu gestartet ist. Egal ob er von selbst neu startet oder nicht, mache danach das: Rechner normal starten. Lade dir dann bitte Combofix ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen (vor dem Ausführen aber unbedingt dein Antivirenprogramm beenden - den Guard stoppen!) klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung) nichts machen, keine Mausbewegung, abwarten der PC startet neu. Das Log, das erscheint, in eine Textdatei kopieren, die Datei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und den Downloadslink posten. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

03.02.2012, 22:42	#9 (Direktlink)
zimpi Erfolgreich angemeldet Registriert seit: 15.09.2011 Beiträge: 11	hat von selbst neugestartet

03.02.2012, 22:50	#10 (Direktlink)
zimpi Erfolgreich angemeldet Registriert seit: 15.09.2011 Beiträge: 11	File-Upload.net - ComboFix.txt

03.02.2012, 22:50	#11 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Wunderbar, dann haben wir den zwei Sachen schon mal die Starteinträge geklaut. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

03.02.2012, 22:54	#12 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Auf deinem Rechner müsste sich ein Ordner mit dem Namen C:\PPFS_Sicherung befinden. Ist der leer oder sind da Dateien drin? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

03.02.2012, 22:55	#13 (Direktlink)
zimpi Erfolgreich angemeldet Registriert seit: 15.09.2011 Beiträge: 11	eine datei namens X6va005.reg ist drinn

03.02.2012, 22:58	#14 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Download : *TDSSKiller.zip* Lade die *TDSSKiller.zip* herunter und entpacken sie auf dem Desktop. Starte die Datei TDSSKiller.exe Klicke auf Change parameters Setze einen Haken bei Verify driver digital signatures und Detect TDLFS file system Klick auf OK und anschließend auf Start scan Warte bis zum Ende der Untersuchung . Sollten Threats gefunden werden so wähle Skip aus. Bestätige unten Links mit Continue Schließe das Fenster vom TDSSKiller Navigiere nun zu C: Lade dort das Log TDSSKiller.2.6.14.0_Tag.Monat.Jahr_Datum_log bitte bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

03.02.2012, 23:01	#15 (Direktlink)
zimpi Erfolgreich angemeldet Registriert seit: 15.09.2011 Beiträge: 11	File-Upload.net - TDSSKiller.2.7.9.0_03.02.2012_22.59.26_log.txt

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln