wuaucld.exe bitte um schnelle Hilfe!

Hannibal2803 · 09.06.2010, 21:24

Hallo, ich habe bei Schuelervz eine Nachricht bekommen mit dem Inhalt:
"Hallo, bist du das

h**p://xx.xxx.190.177/picload/2806party.php"

Ich war zwar verwundert, das die Endung .php statt .jpg ist, aber ich klickte trotzdem drauf, da ich von der Person keinen Virus erwartete. Im neuen Tab öffnete sich ein verpixeltes Bild mit einer Meldung, ich sollte Java zulassen.
Da mir die Seite yfrog als vertrauenswürdig vorkam, lies ich den Haken bei "immer als vertraunswürdig..." drin. Nunja es passierte nichts, außer das sich "Windows Defender" öffnete.

Ich bemerkte, das ich die selbe nachricht auf einmal "von selbst" an meine Freundesliste gesendet habe.

Mein System fing dann nach einem Neustart an rumzuspacken (DNS Probleme, Flooding mit 25Mbit/s an meinen Router...)

Als mein Internet garnicht mehr ging, installierte ich mir einen Netzwerkmonitor, der mir anzeigte, das eine unbekannte anwendung sau viel hochlädt. Direkt darunter war eine Datei namens "wuaucld.exe" ich googelte kurz, und hab den Prozess gekickt. Aufeinmal War mein Flooding weg.

Die Datei habe ich bei virustotal hochgeladen, Ergebnis: 0/41 =(
Ein kompletter Avira & Kaspersky scan brachten auch nichts.

Auf einer Seite fand ich dann:

Zitat:

Hallo,

ich habe mir das ding mal ein bisschen angeguckt(jemand den ich kenne war auch so "doof", um es mal vorsichtig zu sagen, und hat drauf geklickt), es ist ein "Programm" das ein weiteres Programm downloadet und in system32 speichert(wuaucld.exe). Diese "wuaucld.exe" wird dann als Service in eurem system registriert + gestartet und als Windows Defender getarnt. Das gedownloadete zweite "Programm" ist ein Passwort-Stealer + Key-Stealer, das bedeutet eure ganzen Firefox, IE, usw. gespeicherten Passwörter werden ausgelesen und weiter geschickt, das gleiche passiert mit den CD-Keys eurer Programme und Spielen. Zusätzlich sieht es so aus als würde der Virus euren PC zu einem Bot-Netz hinzufühgen(bin mir nur zu 80%-85% sicher) und er wird von keinem Antiviren Programm erkannt(laut scan auf virustotal.com). Und das beste der Virus loggt sich in eure schüler-, studi-, meinvz.net accounts ein, sowie in eure schüler.cc und lokalisten.de accounts und versickt sich an eure Freunde weiter! Kurze info zu mir, ich bin Softwareentwickler und habe mich eine Zeit lang mit "reserv engineering" befasst, daher kenn ich mich ein "bisschen" aus und konnte diese infos herausfinden. Wenn jemand noch fragen hat, einfach hier Posten, ich werde die Tage mitsicherheit nochmal vorbei schauen.

.

Mit freundlichen Grüßen

Quelle:h**p://w*w.gutefrage.net/frage/virus-hilfe-bitte-h
**p-92-241-190-177-picload-2806party-php

Botnetzwerk: passt mit dem Flooding zusammen
SVZ, MVZ.. login passt auch
Dateiort/name: passt auch

So, habe die Datei gerade an Avira & Kaspersky per mail gesendet.

Nun wollte ich gerne wissen, ob man rausfinden kann, ob ich noch mehrere schädliche Dateien habe (also was tut der Virus genau), wie oben vom Stealer die Rede ist, denn ich habe eine Menge an PW's im FF gespeichert, und da hört der Spaß auf!

EDIT: HiJackThis
O23 - Service: Windows Defender Service (Windows Defender) - Unknown owner - C:\Windows\system32\wuaucld.exe (file missing)

wuaucld.exe bitte um schnelle Hilfe!

Plagegeister aller Art und deren Bekämpfung: wuaucld.exe bitte um schnelle Hilfe!

wuaucld.exe bitte um schnelle Hilfe!

Ähnliche Themen: wuaucld.exe bitte um schnelle Hilfe!