seit kurzem ist der wurm wuampd.exe auf meiner winXP pro zu finden.
das suchen bei google und auch hier war erfolglos. durch meine firewall ist er nicht aktiv, also stört er mich nicht wirklich ... noch nicht.
escan hat dann auch noch so einiges gefunden. und nun hab ich eine frage an euch: System neu aufsetzen, oder die Mühe machen das alles wieder hinzukriegen?

hier mal die das hijacklog :

Logfile of HijackThis v1.99.0
Scan saved at 20:04:25, on 26.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Creative\SBAudigy\AudioHQ\AHQTBU.EXE
C:\WINDOWS\System32\wuampd.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ICQ\Icq.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Programme\TerraTec\CinergyTV\TerraTV App.exe
C:\WINDOWS\regedit.com
C:\Dokumente und Einstellungen\Marten\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [AudioHQU] C:\Programme\Creative\SBAudigy\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{71BB7C0B-FFAB-427A-805C-DC9C83ADEBE9}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

falls es hilft kann ich auch noch das log von escan reinstellen.
bin gespannt auf eure Meinung
ein par tips wie man wuampd.exe nun doch runterkriegt würden mich auch sehr freuen
danke

demar

Es dürfte sich um eine "Bot-Variante" handeln (müsste auch im eScan-Log stehen)=> System neu aufsetzen und an diese Anleitung halten.

@demar

guckst du hier
http://www.trendmicro.com/vinfo/viru...e=WORM_RBOT.UM

seit kurzem ist der wurm wuampd.exe auf meiner winXP pro zu finden.
das suchen bei google und auch hier war erfolglos. durch meine firewall ist er nicht aktiv, also stört er mich nicht wirklich ... noch nicht.


escan hat dann auch noch so einiges gefunden. und nun hab ich eine frage an euch: System neu aufsetzen, oder die Mühe machen das alles wieder hinzukriegen?

man kann dich nur empfehlen dein system neu aufzusetzen(formatc)

folge den link von Haui45
sry
chaosman

ja ne, eigentlich wollte ich ja eine andere lösung hören als das system neu aufzusetzen. das hab ich grad erst getan und ich hab nicht wirklich lust dazu das schon wieder zu machen.
also gibt es nun eine alternative?
irgendeine?

danke

NEIN!

Link von Cidre beachten der gepostet wurde!

Alternative ist allerdings deinen Rechner vom Netz zu nehmen und nicht mehr an zu machen,zum Schutze der anderen User.....

Zitat:

das hab ich grad erst getan und ich hab nicht wirklich lust dazu das schon wieder zu machen. also gibt es nun eine alternative?

Nein, da du DICH und auch Andere I-net User gefährdest!

Eine Empfehlung zum Neuaufsetzen des Systems posten wir nicht um dich zu ärgern, sondern um dein System wieder in einem sicheren und vertrauenswürdigen Zustand zu bringen.

Hast du den Link bezüglich der Gefährlichkeit von Rbot wirklich gelesen?
Ansonsten les hier nochmal nach -> http://www3.ca.com/securityadvisor/v....aspx?id=39437

"point"
so nun ist frisch aufesetzt ... und schon weiß ich warum ich linux eben doch lieber mag. sch... windows update funktion lässt mich nach 64 prozent und ca 1 1/2 stunden einfach hängen. war ja klar.
ich hab in sachen updates eh keine so guten chancen da ich ja nur eine isdnleitung besitze. da ist ein update für antivir schon ne tages-aufgabe.
mal was ganz anderes.
durch was wird Win32.Rbot, denn nun hauptsächlich übertragen? mehr als firefox und icq benutz ich nicht. auch eine firewall war aktiviert: spf, von der ich übrigens nicht sehr begeistert bin. habt ihr da noch eine idee welche kostenlose besser ist? wäre nett
naja ich werd dann mal reboot, der download geht ja eh nicht weiter und ... und ich bin noch nicht fertig mit system neuaufsetzen

Zitat:

Zitat von demar

"point"
so nun ist frisch aufesetzt ... und schon weiß ich warum ich linux eben doch lieber mag. sch... windows update funktion lässt mich nach 64 prozent und ca 1 1/2 stunden einfach hängen. war ja klar.
ich hab in sachen updates eh keine so guten chancen da ich ja nur eine isdnleitung besitze. da ist ein update für antivir schon ne tages-aufgabe.
mal was ganz anderes.
durch was wird Win32.Rbot, denn nun hauptsächlich übertragen? mehr als firefox und icq benutz ich nicht. auch eine firewall war aktiviert: spf, von der ich übrigens nicht sehr begeistert bin. habt ihr da noch eine idee welche kostenlose besser ist? wäre nett
naja ich werd dann mal reboot, der download geht ja eh nicht weiter und ... und ich bin noch nicht fertig mit system neuaufsetzen

Was kommt denn bei dem Update genau für eine Fehlermeldung?

Solche Teile werden in der Regel durch ungepatchde Systeme verbreitet,manche dieser Würmer "scannen" eben gewisse Ports und infizieren den PC so,kann man sooo genau nicht sagen jetz,kommt immer auf den Schädling an..