wer kennt wuampd.exe ? |
||
---|---|---|
#0
| ||
12.09.2004, 13:34
Member
Beiträge: 32 |
||
|
||
12.09.2004, 14:05
Member
Beiträge: 48 |
#2
Lass die Datei mal hier checken:
http://virusscan.jotti.dhs.org/ ist aber ziemlich sicher ein Schädling. Erstelle mal ein Hijackthis-Log und poste es: http://hjt.klaffke.de/ |
|
|
||
12.09.2004, 14:49
Member
Beiträge: 890 |
||
|
||
12.09.2004, 15:32
Member
Beiträge: 441 |
#4
@ silverstar
Hierbei handelt es sich um den Backdoor.Rbot.gen, siehe http://www.trojaner-board.de/showpost.php?p=71790&postcount=7 Die logische Konsequenz wäre dies http://www.trojaner-board.de/showpost.php?p=71796&postcount=9 Der ganze Thread http://www.trojaner-board.de/showthread.php?p=71796#post71796 __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
12.09.2004, 16:02
Member
Themenstarter Beiträge: 32 |
#5
vielen dank schonmal fuer die hilfestellung.
mit escan haben wir auch rausgefunden, dass es backdoor.rbot.gen ist. escan hat die datei nur umbenannt 'was not able to clear'. es ist also noch das alte problem vorhanden und wenn ich den beitrag von 'cidre' les - und das dazugehoerige post - wird mir ja ganz schlecht ;( hier der log, ich hoffe, ich komm um ein neuaufsetzen herum, auch wenn ich das im moment fast nicht glaube : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.btx.dtag.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 ;<local> R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: ConferenceRoom Java Client - http://irc2.bluewin.ch/java/cr.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab ich les aber gleich noch weiter bei dem ganzen thread von cidre. @aelfric, der scan hat nicht funktioniert, warum weiss ich nicht. gruss silver Dieser Beitrag wurde am 12.09.2004 um 16:11 Uhr von silverstar editiert.
|
|
|
||
12.09.2004, 16:12
Member
Beiträge: 441 |
#6
Zitat wenn ich den beitrag von 'cidre' les - und das dazugehoerige post - wird mir ja ganz schlecht ;(Ich weiß zwar nicht, warum es dir schlecht wird wenn du meinen Beitrag liest, aber du solltest dir vor Augen führen, daß es um deine eigene Sicherheit geht. Zitat ich hoffe, ich komm um ein neuaufsetzen herumWenn du mit der Ungewissheit leben kannst und weiter auf Sicherheitssoftware vertraust, dann JA . by the way: Dein Log-File ist nicht vollständig und lässt so keine objektive Auswertung zu. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
12.09.2004, 16:17
Member
Themenstarter Beiträge: 32 |
#7
@cidre schlecht nur, weil ich seh, was das fuer ein schlimmes teil ist. ich danke dir fuer die 'aufklaerung'. sorry, wenn du das missverstanden hast.
nein, ich finde die ungewissheit schlimm und je mehr ich les, desto sicherer bin ich, dass ich neu aufsetzen muss. |
|
|
||
12.09.2004, 16:25
Member
Beiträge: 441 |
#8
Nee, ich hab das schon nicht falsch verstanden.
Ich wollte dir bloß die Angst vor dem Neuaufsetzen nehmen. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
12.09.2004, 18:07
Member
Themenstarter Beiträge: 32 |
#9
Running processes:
C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\rmctrl.exe C:\WINDOWS\System32\wuampd.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\wincmd\WINCMD32.EXE C:\DOKUME~1\kiduwe\LOKALE~1\Temp\$wc\HIJACK~1.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.btx.dtag.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 ;<local> R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: ConferenceRoom Java Client - http://irc2.bluewin.ch/java/cr.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab jetzt sollte das log vollstaendig sein, dachte, der obere teil ist nicht so wichtig. |
|
|
||
12.09.2004, 22:51
Member
Beiträge: 890 |
#10
Neuaufsetzen des BS wäre am sinnvollsten
Zitat habe schon alle registereintraege geloescht und alles was ich dazu so finden konnte, trotzdem kommt das teil nach einer weile wieder.Kannst Du das genauer ausdrücken ? Also mit dem Logfile gehst Du sehr sparsam um: BS?,Stand? Hast Du deinen Virenscanner ausgeschaltet bevor Du eScan benutzt hast? Hast Du bestimmt im abgesicherten Modus mit eScan gescannt? Ansonsten, R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)/ fixen O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe/ fixen O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe/fixen O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe/ fixen Im abgesicherten Modus neustarten und C:\WINDOWS\System32\wuampd.exe/ löschen |
|
|
||
12.09.2004, 23:33
Member
Themenstarter Beiträge: 32 |
#11
@ajax
ja, ich hab im abgesicherten modus gescant, da ist dann auch kein virenscanner activ. hm, ich hab im zweiten anlauf alles aus dem logfile kopiert (hab so ein log zum ersten mal kreiert, hab vorher noch nie mit sowas gearbeitet). bs win xp stand - ich weiss nicht welchen du meinst, vom logfile direkt nach der anfrage hier. ich bzw wir kommen auch so langsam zum neu aufsetzen. wenn du schreibst fixen, meinst du loeschen ? ist evtl. ne bloede frage aber ich stell sie trotzdem Dieser Beitrag wurde am 12.09.2004 um 23:35 Uhr von silverstar editiert.
|
|
|
||
13.09.2004, 00:23
Member
Beiträge: 890 |
#12
Zitat hm, ich hab im zweiten anlauf alles aus dem logfile kopiert (hab so ein log zum ersten mal kreiert, hab vorher noch nie mit sowas gearbeitet).Aber gepostete Logfiles im Board hast Du schon gesehen ? Zitat wenn du schreibst fixen, meinst du loeschen ?Mit fixen meine ich ausgewählte Objekte mit HijackThis fixen. Zitat ich bzw wir kommen auch so langsam zum neu aufsetzen.Übrigens, neu aufsetzen ist nie verkehrt. |
|
|
||
soweit ich bisher ersehen konnte gibt es zur wuampd.exe noch nicht viel. hier habe ich per suche gar keinen beitrag gefunden.
soweit ich gefunden habe, soll es sich um einen wurm handeln, der sich immer wieder selbst ausfuehrt.
wer hat schon erfahrung damit ? bitte dringend um hilfestellung, wie man das teil endgueltig entfernen kann.
habe schon alle registereintraege geloescht und alles was ich dazu so finden konnte, trotzdem kommt das teil nach einer weile wieder.
fuer hilfe bin ich dankbar.
gruss -eine ratlose- silver