|
wuampd.exe formatieren und neuaufsetzen seit kurzem ist der wurm wuampd.exe auf meiner winXP pro zu finden. das suchen bei google und auch hier war erfolglos. durch meine firewall ist er nicht aktiv, also stört er mich nicht wirklich ... noch nicht. escan hat dann auch noch so einiges gefunden. und nun hab ich eine frage an euch: System neu aufsetzen, oder die Mühe machen das alles wieder hinzukriegen? hier mal die das hijacklog : Logfile of HijackThis v1.99.0 Scan saved at 20:04:25, on 26.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Winamp\winampa.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Creative\SBAudigy\AudioHQ\AHQTBU.EXE C:\WINDOWS\System32\wuampd.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\ICQ\Icq.exe C:\PROGRA~1\MOZILL~1\firefox.exe C:\Programme\TerraTec\CinergyTV\TerraTV App.exe C:\WINDOWS\regedit.com C:\Dokumente und Einstellungen\Marten\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [AudioHQU] C:\Programme\Creative\SBAudigy\AudioHQ\AHQTBU.EXE O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{71BB7C0B-FFAB-427A-805C-DC9C83ADEBE9}: NameServer = 217.237.150.225 217.237.150.141 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe falls es hilft kann ich auch noch das log von escan reinstellen. bin gespannt auf eure Meinung ein par tips wie man wuampd.exe nun doch runterkriegt würden mich auch sehr freuen danke demar |
Es dürfte sich um eine "Bot-Variante" handeln (müsste auch im eScan-Log stehen)=> System neu aufsetzen und an diese Anleitung halten. |
@demar guckst du hier http://www.trendmicro.com/vinfo/viru...e=WORM_RBOT.UM seit kurzem ist der wurm wuampd.exe auf meiner winXP pro zu finden. das suchen bei google und auch hier war erfolglos. durch meine firewall ist er nicht aktiv, also stört er mich nicht wirklich ... noch nicht. :confused: :confused: escan hat dann auch noch so einiges gefunden. und nun hab ich eine frage an euch: System neu aufsetzen, oder die Mühe machen das alles wieder hinzukriegen? man kann dich nur empfehlen dein system neu aufzusetzen(formatc) folge den link von Haui45 sry chaosman |
ja ne, eigentlich wollte ich ja eine andere lösung hören als das system neu aufzusetzen. das hab ich grad erst getan und ich hab nicht wirklich lust dazu das schon wieder zu machen. also gibt es nun eine alternative? irgendeine? danke |
NEIN! Link von Cidre beachten der gepostet wurde! Alternative ist allerdings deinen Rechner vom Netz zu nehmen und nicht mehr an zu machen,zum Schutze der anderen User..... |
Zitat:
Eine Empfehlung zum Neuaufsetzen des Systems posten wir nicht um dich zu ärgern, sondern um dein System wieder in einem sicheren und vertrauenswürdigen Zustand zu bringen. Hast du den Link bezüglich der Gefährlichkeit von Rbot wirklich gelesen? Ansonsten les hier nochmal nach -> http://www3.ca.com/securityadvisor/v....aspx?id=39437 |
"point" so nun ist frisch aufesetzt ... und schon weiß ich warum ich linux eben doch lieber mag. sch... windows update funktion lässt mich nach 64 prozent und ca 1 1/2 stunden einfach hängen. war ja klar. ich hab in sachen updates eh keine so guten chancen da ich ja nur eine isdnleitung besitze. da ist ein update für antivir schon ne tages-aufgabe. mal was ganz anderes. durch was wird Win32.Rbot, denn nun hauptsächlich übertragen? mehr als firefox und icq benutz ich nicht. auch eine firewall war aktiviert: spf, von der ich übrigens nicht sehr begeistert bin. habt ihr da noch eine idee welche kostenlose besser ist? wäre nett naja ich werd dann mal reboot, der download geht ja eh nicht weiter und ... und ich bin noch nicht fertig mit system neuaufsetzen |
Zitat:
Solche Teile werden in der Regel durch ungepatchde Systeme verbreitet,manche dieser Würmer "scannen" eben gewisse Ports und infizieren den PC so,kann man sooo genau nicht sagen jetz,kommt immer auf den Schädling an.. |
juhu freude, man glaubt es nicht nach 20 minuten nichts tuen. *wusch* fertig. nun ist es vollbracht die downlaods sind unten und ich kan updaten, bis gleich |
Wenn du dein System aktualisiert hast, solltest du nochmal ein Logfile posten. |
Logfile of HijackThis v1.99.0 Scan saved at 22:37:45, on 27.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\Explorer.EXE C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\InterVideo\WinDVR\WinScheduler.exe C:\PROGRA~1\MOZILL~1\firefox.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Dokumente und Einstellungen\Internet\Desktop\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Trickler] "c:\programme\divx\divx pro codec\gain_trickler_3202.exe" O4 - HKLM\..\RunOnce: [IE 3.0 RegSvr schannel.dll] C:\WINDOWS\System32\regsvr32.exe /s C:\WINDOWS\System32\schannel.dll O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106856130203 O17 - HKLM\System\CCS\Services\Tcpip\..\{00992948-1ED3-4181-82D6-B3B3E79D4431}: NameServer = 217.237.150.225 217.237.150.141 O17 - HKLM\System\CS1\Services\Tcpip\..\{00992948-1ED3-4181-82D6-B3B3E79D4431}: NameServer = 217.237.150.225 217.237.150.141 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe das ist das von genau eben grade :-D hoff mal das ist clear muss nur noch xpantispy ausführen |
boah ich glaubs nicht, wieviel updates kann man denn runterladen ich dacht nach den 17 mb wäre erstmal ruhe und schon sind wieder massig zum download ... eh wenn servicepack2 nicht so scheiße wäre würd ich das ja installieren, aber denn funzt hier gar nichts mehr ... als wenn ich nichts besseres zu tuen hätte als die ganze zeite meine kleine bandbreite an updates zu verschwenden. muss ich wohl einmal durch |
Zunächst ist es wichtig, dass du alle empfohlenen und sicherheitsrelevanten Patches installierst. Das SP2 kannst du auch kostenlos von MS auf CD bestellen oder eventuell mal nach älteren PC Zeitschriften Ausschau halten, denn da war das SP2 auch beigefügt. Diesen Eintrag fixen und dementsprechend die Datei löschen: O4 - HKLM\..\Run: [Trickler] "c:\programme\divx\divx pro codec\gain_trickler_3202.exe" Zitat:
|
an service pack 2 hab ich aber kein interesse, denn laufen so einige anwendungen nicht mehr richtig oder gar nicht. bin jetzt frisch geupdatet das zu xpantispy ... klingt logisch was da auf der seite steht werd das dann wohl lassen, dachte eigentlich das es "sinnvoll ist" da hab ich mich wohl geirrt. hier mal ein hijack log nach den ganzen updates: Logfile of HijackThis v1.99.0 Scan saved at 15:53:36, on 28.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\InterVideo\WinDVR\WinScheduler.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Winamp\winamp.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\System32\taskmgr.exe C:\Dokumente und Einstellungen\Marten\Desktop\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106856130203 O17 - HKLM\System\CCS\Services\Tcpip\..\{00992948-1ED3-4181-82D6-B3B3E79D4431}: NameServer = 217.237.150.225 217.237.150.141 O17 - HKLM\System\CS1\Services\Tcpip\..\{00992948-1ED3-4181-82D6-B3B3E79D4431}: NameServer = 217.237.150.225 217.237.150.141 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe das ist ja schon wesentlich kürzer geworden und noch was gefunden? dann bitte ich um meldung danke |
Dein Log-File ist zwar kürzer, aber du installierst dir wieder eine nicht vertrauenswürdige Software! Fixe: O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm Lösche diese Ordner: C:\Programme\Gemeinsame Dateien\CMEII C:\Programme\Gemeinsame Dateien\GMT |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board