Hallo

wie es aussieht hast du dir einen Wurm der übleren Sorte eingefangen.
W32/Rbot-FK - Wurm - Sophos Bedrohungsanalyse

Mach bitte alle versteckten Dateien und Ordner sichtbar und suche diese Datei :
wuagrd.exe
lass die Datei hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 33 AntiVirus Engine, Last Update(070917)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Herzlichen Dank!

Leider brachte die Suche (unter Beachtung der von Dir empfohlenen Einstellungen KEINERLEI Ergebnis!
D.h., die WIndows Suche hat nirgendwo auf meinen Festplatten eine Datei wuagrd.exe gefunden!

Was kann ich tun?

Du hast Wiso Sparbuch auf dem Rechner. Als erstes solltest Du sowas auf dem Rechner nicht mehr ausführen!

Das Programm wird gestartet, ist aber nicht in der Liste der Prozesse, was schon mal schlecht ist.

Versuche mal bei virustotal den Pfad

C:\WINDOWS\System32\wuagrd.exe

reinzukopieren und dann senden zu drücken, ob das klappt.

Dann noch folgendes:

ModGreper

* Lade Modgreper von hier.
* Entpacke es nach c:\
* Lade die mg.bat von hier .
* Speicher diese auf dem Desktop
* Klicke die mg.bat an, ein schwarzes Fenster erscheint
* nachdem dieses verschwunden ist Öffne mit dem Explorer oder über den Arbeitsplatz
* dort liegt nun die Datei c:\modgreper.txt, diese mit einem Doppelklick öffnen
* poste den Inhalt der modgreper.txt im Forum

----
modGREPER findet verteckte Module unter Windows 2000/XP/2003. Es durchsucht den Kernel Speicher um dort Strukturen von gültigen Modul Beschreibungsobjekten zu finden.

Hallo,

danke für die Hilfe!
Hier nun das Modgreper.txt-file:

? f8d33000 - f8d35000 : \SystemRoot\System32\Drivers\hiber_WMILIB.SYS
? f4789000 - f47a1000 : \SystemRoot\System32\Drivers\dump_atapi.sys
? f8d8b000 - f8d8d000 : \SystemRoot\System32\Drivers\dump_WMILIB.SYS

ist ok, funktioniert denn der Virustotal upload?

Leider nicht!

Übrigens findet HijackThis 1.99.01 die Datei wuagrd.exe nicht! Könnte ich denn nicht mit Hilfe von HJT 2.02 die Datei "fixen" (was auch immer das bedeutet ...)?

Ich habe auch nochmal "per Hand" im Ordner Sys32 gesucht - auch ohne Ergebnis.

Ganz so einfach ist das nicht, das hilft dann nur der Optik.
Ok, versuchen wir es mit Dr. Web CureIt

Lade es und führe es wie beschrieben aus.

Poste dann das Log

Zitat:

Dazu unter: Start - Ausführen

%userprofile%\doctorweb\cureit.log

eingeben und "enter" drücken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

Das ganze bitte in [CODE]Dein Log :)[/CODE] Zeichen