wuamguard.exe trotz 6 mal formatieren

22.08.2004, 20:24
...neu hier

Beiträge: 7
#1 Hallo Leute,
mein Problem ist das ich aus eigener dummheit den Kazza installiert habe und dadurch mein pc infiziert hab.
Mit dem berühmten worm w32 sbyboot so hiess der ungefähr.
Insgesamt 1125 viren hat mein pc gehabt.
Ich hab mich etwas über den infomiert soll ein kazaa virus sein und so ne family ach keine ahnung.

Dann gab es den virus mit den den 30 sekunden runterladen...
Man hat mir gesagt gegen den virus sollte man formatieren und den Hotfix sp1 druf laden bevor man ins internet geht.
Das hab ich auch durch den laptop im netzwerk ohne internetverbindung reingezogen ding kam nicht mehr!
Windows-update hab ich auch gemacht.

Aber wuamguard.exe usw laufen immer noch im task manager.
Und signaturen von irgendwelchen Viren gibt es auch noch....

Ich bin einfach fix und fertig vom formatieren scannen löschen und kopf gegen die wand schlagen.
Bitte hilft mir.....

Mein antivir spuckt als diese warnungen aus:

22.08.2004,18:41:30 [WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.GW!
C:\WINDOWS\SYSTEM32\TFTP504
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
22.08.2004,18:43:45 [WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.FM!
C:\WINDOWS\SYSTEM32\TFTP596
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
22.08.2004,18:44:02 [WARNUNG] Enthält Signatur des Wurmes Worm/SdBot.JG.1!
C:\WINDOWS\SYSTEM32\TFTP1112
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
22.08.2004,18:44:12 [WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.DA!
C:\WINDOWS\SYSTEM32\TFTP172
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
22.08.2004,18:45:24 [WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.FQ!
C:\WINDOWS\SYSTEM32\TFTP516
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
22.08.2004,18:49:21 [WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.DA!
C:\WINDOWS\SYSTEM32\TFTP2820
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
22.08.2004,18:50:45 [WARNUNG] Enthält Signatur des Wurmes Worm/SdBot.JT!
C:\WINDOWS\SYSTEM32\TFTP3544
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
22.08.2004,18:52:04 [WARNUNG] Enthält Signatur des Wurmes Worm/SdBot.97809!
C:\WINDOWS\SYSTEM32\TFTP3356
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
22.08.2004,18:53:09 [WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.DN!
C:\WINDOWS\SYSTEM32\TFTP3192
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!

Der Antivir sagt mir obwohl ich zig mal formatiert habe (fabrikneu):

C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\SoftwareDistribution\EventCache
{51BD52AE-4998-4740-B8CC-E0A063E92129}.bin
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32
exploirez.exe
WARNUNG! Ungültige Startadresse!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt

Also hab mal den hijackthis geladen, gescannt, ausgewertet und poste den rein hab nix gelöscht damit ihr wisst was ich meine.


Also hier der scan:


C:\Programme\Messenger\msmsgs.exe
C:\Programme\IEEE 802.11g USB Wireless LAN\IEEE 802.11g USB Wireless LAN\WlanUtil.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Rumeysa\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198[1].zip\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Update Server] mssrv.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] wuamgrd.exe
O4 - HKLM\..\Run: [Microsofts Updatez] exploirez.exe
O4 - HKLM\..\RunServices: [Microsoft Update Server] mssrv.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsofts Updatez] exploirez.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update Server] mssrv.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] wuamgrd.exe
O4 - HKCU\..\Run: [Microsofts Updatez] exploirez.exe
O4 - Global Startup: IEEE 802.11g USB Wireless LAN Utility.lnk = C:\Programme\IEEE 802.11g USB Wireless LAN\IEEE 802.11g USB Wireless LAN\WlanUtil.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093192742203
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE6F5D75-03E4-4618-951D-6BA8C7019E96}: NameServer = 192.168.123.254

Noch was bin kein profi verbunden mit pc problemen!!!!!!!!!!!!!!!!!!!!!!
Bitte auf meiner ebene reden so das ich das verstehe ok wäre ganz lieb.
Seitenanfang Seitenende
22.08.2004, 20:38
Member

Beiträge: 441
#2 Hallo,

dein System ist dermaßen kompromittiert, das nur ein Neuaufsetzen deines System in Frage kommt, um wieder einen vertrauenswürdigen Zustand herzustellen.
Alles andere ist reine Spekulation!
http://faq.underflow.de/#SECTION000120000000000000000
http://oschad.de/wiki/index.php/Kompromittierung

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html


Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
22.08.2004, 20:43
...neu hier

Themenstarter

Beiträge: 7
#3 He?
Was meinst du mit kompromittiert und Neuaufsetzen?
Mienst du ich soll das 7 mal (war das glaube) formatieren?
Es kommt doch immer wieder oh menno!!!!
Seitenanfang Seitenende
22.08.2004, 21:10
Member

Beiträge: 441
#4

Zitat

Was meinst du mit kompromittiert und Neuaufsetzen?
Kompromittierung (engl. Bloßstellung) bedeutet: Eine Verletzung der Sicherheitspolitik derart, daß sensitive Informationen unautorisiert enthüllt worden sein können.
Mit Neuaufetzen meine ich : Formatieren aller Partitionen bzw. Festplatten, danach Betriebssystem neu aufspielen.

Du hast die Links nicht wirklich gelesen, oder?

Zitat

Mienst du ich soll das 7 mal (war das glaube) formatieren?
Ja, genau das meine ich!

Zitat

Es kommt doch immer wieder oh menno!!!!
Nein!
Wenn du das machst was ich gepostet habe, dann kommt es zu dieser Situation normalerweise nicht mehr. Punkt für Punkt, auch in der richtigen Reihenfolge, abarbeiten.

Es sei denn, du installiert dir die Malware selbst. Dagegen sind alle Sicherheits-Tools machtlos!

Weitere interessante Links:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://faq.underflow.de/#SECTION000110000000000000000
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
22.08.2004, 21:13
...neu hier

Themenstarter

Beiträge: 7
#5 Danke Cidre,
ich weiss jetzt so ungefähr durch die links was kompromitiert heisst, aber allein komm ich hier nie durch!
Ich glaub schmeiss das ding aus den fenster!;)
Ich hätte so ungefähr gerne gewusst was den mit dem ding kaputt ist und wo genau?
Die festplatte???
Wo ist das System???
Kann mir jemand viellicht in kleinen schritten erklären was ich genau und so machen soll???
Seitenanfang Seitenende
22.08.2004, 21:39
Member

Beiträge: 441
#6

Zitat

Ich hätte so ungefähr gerne gewusst was den mit dem ding kaputt ist und wo genau?
Die festplatte???
Kaputt ist nichts. Aber möglicherweise konnte/kann ein Fernzugriff auf dein System erfolgen ohne das du es bemerkt hast. Ich weiß ja nicht ob du Online Banking, eBay und anderes betreibst, aber diese Passwörter bzw die Daten auf deinen PC sind als bekannt anzusehen. Dies alles kann für dich nicht befriedigend sein. Daher solltest schnellstmögliche Abhilfe schaffen und dem entgegenwirken.

Zitat

Wo ist das System???
Dein System ist dein PC.

Zitat

Kann mir jemand viellicht in kleinen schritten erklären was ich genau und so machen soll???
In all meinen geposteten Links, findest du eine genaue geschilderte teils bebilderte Vorgehensweise!
Das genaue Lesen kann ich dir nicht abnehmen!
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 22.08.2004 um 21:40 Uhr von Cidre editiert.
Seitenanfang Seitenende
21.04.2005, 22:06
...neu hier

Beiträge: 4
#7 Ich bin nicht so ein Profi,habe nur eigene Erfahrung.
Verständlich für dein Problem drücke ich mich folgenderwassen aus.

Wenn auch ein Virus erkannt wird,muss nicht unbedingt einer da sein.
(Norton hat mir das bewiesen)
Check das mal mit einem anderen Viren programm .
Lade nur mal Windowas drauf,sonst nichts.
Prüfe dann.Nimm K E I N E Diskette,es besteht die Gefahr,dass du dort wo einen Virus mit einschleifst,auch keine gebrannte CD.Nur Wi Original CD.

Wechsle beim Formattieren von NTFS auf Fat und wieder zurück.

Es ist fast nicht möglich,dass nach dem Formattieren der Virus so beständig bleibt.

Ganz im Notfall,wenn s sowas wirklich gibt,
neue Festplatte.

Es gibt Programme die von Norton als Virus abgetan werden,oder Arbeitsweisen von Programmen.
Pass auf,dass du keine 2 Virenprogramme auflädst(G Virus von AOL und noch das im Norton) auch win XP clean wurde mir schon als Virus untergejubelt.

Meine Meinung:Lass Norton weg es ist der grösste Virus.Lasst sich nie wieder restlos entfernen,wenn das Programm wirklich helfen soll steigt es aus und bringt sogar das System zum Absturz.

Aber wie gesagt:::MEINE Erlebnisse und meine Meinung.Ich sagte nicht Norton ist ein Müll.

Vielleicht kannste was mit anfangen.Gruss harry
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: