wer kennt wuampd.exe ?

#1 hallo an alle,

soweit ich bisher ersehen konnte gibt es zur wuampd.exe noch nicht viel. hier habe ich per suche gar keinen beitrag gefunden.

soweit ich gefunden habe, soll es sich um einen wurm handeln, der sich immer wieder selbst ausfuehrt.

wer hat schon erfahrung damit ? bitte dringend um hilfestellung, wie man das teil endgueltig entfernen kann.

habe schon alle registereintraege geloescht und alles was ich dazu so finden konnte, trotzdem kommt das teil nach einer weile wieder.

fuer hilfe bin ich dankbar.

gruss -eine ratlose- silver

#2 Lass die Datei mal hier checken:

http://virusscan.jotti.dhs.org/

ist aber ziemlich sicher ein Schädling.

Erstelle mal ein Hijackthis-Log und poste es:

http://hjt.klaffke.de/

#3

Zitat

habe schon alle registereintraege geloescht und alles was ich dazu so finden konnte,

Auch schon mit eScan im abgesicherten Modus gescannt ?
Schaut fast so aus als ob der Schädling nur leicht umbenannt wurde.
Sollte auch eScan nicht helfen kannst Du ein HijackThis-Log posten.

Gruß
Ajax

#4 @ silverstar

Hierbei handelt es sich um den Backdoor.Rbot.gen, siehe
http://www.trojaner-board.de/showpost.php?p=71790&postcount=7

Die logische Konsequenz wäre dies http://www.trojaner-board.de/showpost.php?p=71796&postcount=9

Der ganze Thread http://www.trojaner-board.de/showthread.php?p=71796#post71796
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#5 vielen dank schonmal fuer die hilfestellung.

mit escan haben wir auch rausgefunden, dass es backdoor.rbot.gen ist. escan hat die datei nur umbenannt 'was not able to clear'.

es ist also noch das alte problem vorhanden und wenn ich den beitrag von 'cidre' les - und das dazugehoerige post - wird mir ja ganz schlecht ;(

hier der log, ich hoffe, ich komm um ein neuaufsetzen herum, auch wenn ich das im moment fast nicht glaube :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
;<local>
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: ConferenceRoom Java Client - http://irc2.bluewin.ch/java/cr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

ich les aber gleich noch weiter bei dem ganzen thread von cidre.

@aelfric, der scan hat nicht funktioniert, warum weiss ich nicht.

gruss silver

#6

Zitat

wenn ich den beitrag von 'cidre' les - und das dazugehoerige post - wird mir ja ganz schlecht ;(

Ich weiß zwar nicht, warum es dir schlecht wird wenn du meinen Beitrag liest, aber du solltest dir vor Augen führen, daß es um deine eigene Sicherheit geht.

Zitat

ich hoffe, ich komm um ein neuaufsetzen herum

Wenn du mit der Ungewissheit leben kannst und weiter auf Sicherheitssoftware vertraust, dann JA .

by the way: Dein Log-File ist nicht vollständig und lässt so keine objektive Auswertung zu.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#7 @cidre schlecht nur, weil ich seh, was das fuer ein schlimmes teil ist. ich danke dir fuer die 'aufklaerung'. sorry, wenn du das missverstanden hast.

nein, ich finde die ungewissheit schlimm und je mehr ich les, desto sicherer bin ich, dass ich neu aufsetzen muss.

#8 Nee, ich hab das schon nicht falsch verstanden.

Ich wollte dir bloß die Angst vor dem Neuaufsetzen nehmen.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#9 Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\rmctrl.exe
C:\WINDOWS\System32\wuampd.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\wincmd\WINCMD32.EXE
C:\DOKUME~1\kiduwe\LOKALE~1\Temp\$wc\HIJACK~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
;<local>
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: ConferenceRoom Java Client - http://irc2.bluewin.ch/java/cr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab


jetzt sollte das log vollstaendig sein, dachte, der obere teil ist nicht so wichtig.

#10 Neuaufsetzen des BS wäre am sinnvollsten

Zitat

habe schon alle registereintraege geloescht und alles was ich dazu so finden konnte, trotzdem kommt das teil nach einer weile wieder.

Kannst Du das genauer ausdrücken ?
Also mit dem Logfile gehst Du sehr sparsam um: BS?,Stand?

Hast Du deinen Virenscanner ausgeschaltet bevor Du eScan benutzt hast?
Hast Du bestimmt im abgesicherten Modus mit eScan gescannt?

Ansonsten,

R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)/ fixen
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe/ fixen
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe/fixen
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe/ fixen

Im abgesicherten Modus neustarten und

C:\WINDOWS\System32\wuampd.exe/ löschen

#11 @ajax
ja, ich hab im abgesicherten modus gescant, da ist dann auch kein virenscanner activ.

hm, ich hab im zweiten anlauf alles aus dem logfile kopiert (hab so ein log zum ersten mal kreiert, hab vorher noch nie mit sowas gearbeitet).

bs win xp
stand - ich weiss nicht welchen du meinst, vom logfile direkt nach der anfrage hier.

ich bzw wir kommen auch so langsam zum neu aufsetzen.

wenn du schreibst fixen, meinst du loeschen ? ist evtl. ne bloede frage aber ich stell sie trotzdem

#12

Zitat

hm, ich hab im zweiten anlauf alles aus dem logfile kopiert (hab so ein log zum ersten mal kreiert, hab vorher noch nie mit sowas gearbeitet).

Aber gepostete Logfiles im Board hast Du schon gesehen ?

Zitat

wenn du schreibst fixen, meinst du loeschen ?

Mit fixen meine ich ausgewählte Objekte mit HijackThis fixen.

Zitat

ich bzw wir kommen auch so langsam zum neu aufsetzen.

Übrigens, neu aufsetzen ist nie verkehrt.