Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   wuamgrd.exe,hätte da mal eine Frage (https://www.trojaner-board.de/668-wuamgrd-exe-haette-mal-frage.html)

Shadoweye 16.05.2004 21:18
Wenn es hier falsch gepostet wurde,bitte ich den Thread zu verschieben...

Habe mal ne Frage zu dem kleinen Kerlchen,eine Freundin von mir hat sich das Viech eingefangen,nun ist die Frage,kann man den NUR manuell entfernen oder gibt es dafür ein Tool,um den wuamgrd.exe zu entfernen???

Manuell habe ich selbst noch keinen Backdoorwurm entfernt,deshalb meine Frage!?

So long

Dat Schatterl [img]graemlins/teufel3.gif[/img]

[ 16. Mai 2004, 23:16: Beitrag editiert von: Shadoweye ]

Lucky 17.05.2004 06:12
Ist es dieser hier?
http://www.trendmicro.com/vinfo/viru...e=WORM_SDBOT.L

Björn

Shadoweye 17.05.2004 12:25
Nein, sorry, der Wurm selber nennt sich W32.Agobot.A als exe findet meine Freundin als wuamgrd.exe. Sie bekommt den Wurm auf Teufel komm raus nich von ihrem System runter. :(

Aber danke trotzdem Lucky [img]smile.gif[/img]

So long

Dat Schatterl [img]graemlins/teufel3.gif[/img]

mmk 17.05.2004 12:40
Hallo!

Nehmt den PC so schnell als möglich vom Netz! Durch den aktiven Backdoor befindet sich das System nicht mehr unter "eurer Kontrolle". Persönliche Daten können ausspioniert oder das System z.B. für Spamzwecke missbraucht werden.

Dann mal ein HijackThis-Logfile erstellen und hier posten. Nach Löschen der offensichtlichen Malwaredateien kann dann in Ruhe offline (!) eine Sicherung der wichtigsten Daten durchgeführt werden.

Anschließend sollte das System neu aufgesetzt, und vor der ersten Internetverbindung entsprechende Maßnahmen ergriffen werden:

http://www.mathematik.uni-marburg.de...ompromise.html


Nachfrage: Um welches Betriebssystem handelt es sich dabei?

Shadoweye 17.05.2004 14:31
Gugugs mmk,

Danke für die Antwort, also es handelt sich um ein XP - System, am Wochende wurde die Kiste dreimal neu aufgesetzt. Meine Freundin ist schon halb am verzweifeln, denn jedes Mal, wenn sie ins Netz will, um sich die Sicherheitsupdates bei Microsft zu ziehen, lässt dieser Backdoor - Wurm nicht zu!! Sie ist schon soweit, das sie ihre Kiste aus dem Fenster schmeissen will, aber werde ihr mal den Link für den HiJackThis schicken, das sie den machen kann! Werde ihn dann hier posten..

So long

Dat Schatterl [img]graemlins/teufel3.gif[/img]

Shadoweye 24.05.2004 18:07
Hallo zusammen,

habe es endlich geschafft den Log bekommen von meiner Freundin! Lang, lang ist es her *fg*

Also erst mal hier der Log :

Logfile of HijackThis v1.97.7
Scan saved at 18:39:56, on 24.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger Plus! 2\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Programme\DeeEnEs\DeeEnEs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AutoDialUp\AutoDialUp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\DOKUME~1\Anke\LOKALE~1\Temp\~AceTemp\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/cust...//my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/cust...//my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [DeeEnEs] C:\Programme\DeeEnEs\DeeEnEs.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\RunOnce: [AutoDialRun] "C:\Programme\AutoDialUp\AutoDialUp.exe"
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get...irector/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/fu...tup1.0.0.8.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/17348ca4...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8124.381712963
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yaho...ymmapi_416.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D348A343-812E-4D46-9BA4-35ABFD51D935}: NameServer = 217.237.150.97 194.25.2.129

Schaut mal, ob sich da irgendwas befindet, was nich auf die Dattelkiste gehört!!

So long

Dat Schatterl [img]graemlins/teufel3.gif[/img]

mmk 24.05.2004 18:16
Hallo!

Mindestens das gehört nicht drauf:


C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [Zone Labs Client]
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - h**p://bar.mywebsearch.com/menusearch.html?p=ZSzeb029


Des Weiteren prüft mal bitte, ob das hier wissentlich / absichtlich installiert wurde:

C:\Programme\DeeEnEs\DeeEnEs.exe

Shadoweye 24.05.2004 18:34
Gugugs mmk,

danke für deine schnelle Antwort, hab erst später damit gerechnet :D

Hab meine Freundin gefragt, sie sagt, das

C:\Programme\DeeEnEs\DeeEnEs.exe

mit Absicht auf ihrer Kiste ist, was auch immer das ist?? *schulterzuck*
Aber trotzdem vielen Dank soll ich euch ausrichten für die Hilfe, wenn noch was sein sollte, werd ich mich noch mal melden :D

So long

Dat Schatterl [img]graemlins/teufel3.gif[/img]

P.S: Soll ich dann noch mal den Log hier posten, wenn sie das alles gefixed hat?? Denke ja oder??

Shadow 24.05.2004 18:40
Google sagt:
Beschreibung:
DeeEnEs ist ein äußerst kompakter Client für den DynDNS-Service. Nach einer einmaligen Registrierung erhalten Sie eine eigene Third-Level-Domain, beispielsweise "meinrechner.dyndns.org". Immer wenn sich die IP-Adresse Ihres Computers ändert, springt DeeEnEs an und aktualisiert beim DynDNS-Onlineservice die für "meinrechner.dyndns.org" hinterlegte IP-Adresse. Anwender, die Ihren Server erreichen wollen, müssen sich dann nur noch "meinrechner.dyndns.org" merken und Sie sind alle Verbindungsprobleme los.
Autoren-Kontakt: http://www.palacio-cristal.com


Schaut legal aus

Shadoweye 24.05.2004 18:46
Dyndns kenne ich,das nutzen wir für unseren Server, falls unsere User nich auf unser Forum kommen aus was für Gründen auch immer ;)

Also im Prinzip nix anderes, wenn ich das richtig verstehe..

So long

Dat Schatterl [img]graemlins/teufel3.gif[/img]


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131