Trojaner wuauclt.exe und integrator.exe |
||
|---|---|---|
| #0
| ||
|
20.09.2004, 13:13
Member
Beiträge: 48 |
||
 
|
|
|
|
21.09.2004, 15:59
Ehrenmitglied
 Beiträge: 29434 |
#17
Hallo @boghog
 <Troj/Cult-B< http://www.sophos.com/virusinfo/analyses/trojcultb.html ................................................................................................ Loesche"WUAUCLT.EXE", aber vorher checke sie mit Kaspersky: Kaspersky (Online) http://www.kaspersky.com/remoteviruschk.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.09.2004 um 16:00 Uhr von Sabina editiert.
|
|
|
|
|
|
|
22.09.2004, 23:40
...neu hier
Beiträge: 5 |
#18
Hallo ihr Lieben habe exakt das gleiche problem und habe alle hier aufgeführten schritte durchgeführt und was ist: wieder habe ich diesen sch... integrator.exe und den och viel bes... wuauclt.exe laufen. es ist zum verzweifeln. abgesichert oder normalmodus - registry löschen oder datei- 95337 mal verschiedenste spy und viren software drüber laufen lassen und der ist immer noch da. bitte was kann ich noch tun. es muss doch etwas geben wie man das ein für allemal wegkriegt. das geht mir schon so auf die nerven. gestern bis halb 4 früh heute den ganzen tag und kein ergebnis- das ist echt zum aus der haut fahren ausserdem habe ich angst das ich schon zuviel gelöscht habe und mein system schon noch zusätzlich beleidigt habe. also bitte, bitte wenn mir noch irgendwer einen tipp geben könnte wäre ich ihm sehr verbunden. vielen dank schon mal im voraus.
Logfile of HijackThis v1.98.2 Scan saved at 23:32:08, on 22.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\SYSTEM32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Sygate\SPF\smc.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\Explorer.EXE E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe E:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe E:\Programme\TuneUp Utilities 2004\MemOptimizer.exe E:\Programme\Alwil Software\Avast4\aswUpdSv.exe E:\Programme\Alwil Software\Avast4\ashServ.exe E:\WINDOWS\System32\nvsvc32.exe E:\Programme\MSI\Core Center\CoreCenter.exe E:\WINDOWS\system32\taskmgr.exe E:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe E:\Programme\Internet Explorer\iexplore.exe E:\Programme\TuneUp Utilities 2004\ProcessManager.exe E:\Programme\Internet Explorer\iexplore.exe E:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE E:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE E:\Dokumente und Einstellungen\Grex\Desktop\Downloads\hijackthis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ashMaiSv] E:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - Global Startup: CoreCenter.lnk = E:\Programme\MSI\Core Center\CoreCenter.exe O8 - Extra context menu item: &Google Search - res://e:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://e:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://e:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe hi nochmal so schauts aus nach neustart wenn ich noch nix gemacht habe ausser den tuneup gestartet. was sich da immer automatisch öffnet ist natürlich eine ander sache. sagt mal wieso hängt der integrator mit dem tuneup zusammen? heißt das der tune up ist befallen oder der integrator ist auch ein teil von ihm??? ich blick nicht mehr durch wohl eindeutig zuklange vor diesem sch... kastl gesessen. jetzt hab ich 4eck augen und keine nerven mehr. ich denke ich sollte jetzt mal schlafen. also bitte schreib5t was gutes - hoffentlich nicht: formatiere alles... also bis morgen und gute nacht. Logfile of HijackThis v1.98.2 Scan saved at 23:57:42, on 22.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\SYSTEM32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Sygate\SPF\smc.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\Explorer.EXE E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe E:\Programme\Alwil Software\Avast4\aswUpdSv.exe E:\Programme\Alwil Software\Avast4\ashServ.exe E:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe E:\WINDOWS\System32\nvsvc32.exe E:\Programme\TuneUp Utilities 2004\MemOptimizer.exe E:\Programme\MSI\Core Center\CoreCenter.exe E:\WINDOWS\system32\taskmgr.exe E:\Programme\Internet Explorer\iexplore.exe E:\Programme\TuneUp Utilities 2004\Integrator.exe E:\Dokumente und Einstellungen\Grex\Desktop\Downloads\hijackthis\HijackThis.exe E:\WINDOWS\system32\wuauclt.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ashMaiSv] E:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - Global Startup: CoreCenter.lnk = E:\Programme\MSI\Core Center\CoreCenter.exe O8 - Extra context menu item: &Google Search - res://e:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://e:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://e:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe Dieser Beitrag wurde am 23.09.2004 um 00:13 Uhr von palma editiert.
|
|
|
|
|
|
|
23.09.2004, 10:15
Ehrenmitglied
Beiträge: 29434 |
#19
Hallo @palma
1.wuauclt.exe ist der : Windows Update Automatic Client (falls die Ueberpruefung mit Kaspersky keinen Virus anzeigt) 2.TuneUp Utilities 2004\integrator sollte kein Problem sein. so schauts aus nach neustart wenn ich noch nix gemacht habe ausser den tuneup gestartet. was sich da immer automatisch öffnet ist natürlich eine ander sache. ...das musst du erklaeren. Falls du meinst, O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart so hast du im TuneUp <TuneUp MemOptimizer< aktiviert. Das kann man mit Haekchen rausnehmen deaktivieren. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.09.2004 um 10:19 Uhr von Sabina editiert.
|
|
|
|
|
|
|
23.09.2004, 11:12
...neu hier
Beiträge: 5 |
#20
hallo sabina!
danke für dein post. was??? also du meinst der wucault ist nur der updater und völlig ungefährlich?? und der integrator auch? aber ich dachte INTEGRATOR = VIRUS bzw. TROJANER. ist also integrator.exe defenetiv ein bestandteil vom tuneup??? und warum kann ich dann wie du weiter vorne gepostet hast diesen ups.exe und den wuaclt nicht löschen?? die kommen nämlich automatisch wieder zurück, wenn ich sie rausschmeiße. aber bei meinem hijack ist also nichts auffälliges zu sehen? auch nix überflüßiges oder sinnloses, komisches oder seltsames?? oh mann das wär schön. |
|
|
|
|
|
|
23.09.2004, 11:18
Ehrenmitglied
Beiträge: 29434 |
#21
Zitat palma posteteEs gibt "Integrator", die Malware sind, aber nicht der vom Tuneup. wucault sollte man mit Kaspersky ueberpruefen, denn es gibt (wie weiter oben gepostet) einen Virus gleichen Namens. Ansonsten ist es ein Bestandteil von Windows. Dein Log ist sauber mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.09.2004, 11:51
...neu hier
Beiträge: 5 |
#22
vielen vielen dank!
aber eins noch: wie heißt noch mal der registry eintrag von dem virus? dann kann ichnoch mal nachschauen ob der wirklich weg ist. muchas gracias senorita |
|
|
|
|
|
|
23.09.2004, 11:53
Ehrenmitglied
Beiträge: 29434 |
#23
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft auto update = WUAUCLT.EXE (ist bei dir aber nicht der Fall, sonst wuerde die exe unter 04 im HijackThis erscheinen. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.09.2004, 11:59
...neu hier
Beiträge: 5 |
#24
du hast recht! sehr gut- super
|
|
|
|
|
|
|
23.09.2004, 18:11
Member
Beiträge: 48 |
#25
hallo,
hm, irgendwie hab ich auch wuauclt und casdasn laufen. was dasn? wie krieg ich das weg? hab xp neu installiert und finde kein hijack. greetz boghog |
|
|
|
|
|
|
24.09.2004, 11:18
Ehrenmitglied
Beiträge: 29434 |
#26
Hallo @boghog
casdasn ? Bitte etwas genauer. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.09.2004, 13:06
Member
Beiträge: 48 |
#27
hi sabina,
ich hab gescannt, wuauclt scheint ok zu sein, aber wenn ich es lösche ist es in paar sekunden wieder da. Und noch ein Prozess CASDASN.EXE heisst er genau, mehr weiss ich darüber nicht. Dann hab ich noch winsysi.exe, kenn ich auch nicht, und ist es normal wenn man 5 svchost prozesse hat? ich hab xp neuinstalliert, dann konnte ich 2 tage lang server aufbauen( beim zoggn war.3) doch jetzt kann ichs schon wieder nicht, sehr seltsam, das wirklich seltsam sowas hab ich noch nie erlebt. Das komische ist auch der sound bleibt dabei irgendwie stecken, ich höre nur die üblichen hintergrundgeräusche aber keine musik bei der ini. greetz boghog Dieser Beitrag wurde am 24.09.2004 um 13:16 Uhr von boghog editiert.
|
|
|
|
|
|
|
24.09.2004, 13:23
Ehrenmitglied
Beiträge: 29434 |
#28
Hallo boghog
<winsysi.exe ist ein W32/Rbot-HT (Backdoor) <CASDASN.EXE (unbekannt) Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. <Abgesicherter Modus http://www.bsi.de/av/texte/winsave.htm und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives folgende Haken : [x] Memory [x] Registry [x] Startup Folders [x] System Folders [x] Services [x] Drive (x) All Local Drives [x] Folder [C:\WINDOWS] [x] Include SubDirectory <und "Scan clean" klicken. <Gehe wieder in den Normalmodus und scanne noch mal. <Poste danach Virus Log Information: (aus Viewer abkopieren) was als <deleted< und <renamed< und <no action taken< gefunden wurde Dann: NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ + Entbinden des NetBios __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.09.2004 um 13:24 Uhr von Sabina editiert.
|
|
|
|
|
|
|
24.09.2004, 18:38
Member
Beiträge: 48 |
#29
hi sabina,
hier das log, hmm...ich dachte mir schon, dass es was mit 'Volume' nit stimmt -.-. stimmt es? File C:\WINDOWS\system32\casdasn.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\WINDOWS\System32\winmger.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\WINDOWS\System32\winsysi.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\WINDOWS\System32\xzlovuf.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\lsas.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\lsas.VIR00 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{E949FC74-62AA-476D-8410-86CA064F5CA7}\RP18\A0018500.exe tagged as not-a-virus:RiskWare.Dialer.P2PAg.b. No Action Taken. File C:\System Volume Information\_restore{E949FC74-62AA-476D-8410-86CA064F5CA7}\RP19\A0018501.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{E949FC74-62AA-476D-8410-86CA064F5CA7}\RP52\A0042324.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\System Volume Information\_restore{E949FC74-62AA-476D-8410-86CA064F5CA7}\RP56\A0046962.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\System Volume Information\_restore{E949FC74-62AA-476D-8410-86CA064F5CA7}\RP60\A0064609.exe infected by "TrojanDownloader.Win32.Delf.cy" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{E949FC74-62AA-476D-8410-86CA064F5CA7}\RP60\A0064610.exe infected by "TrojanDownloader.Win32.Delf.cy" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{E949FC74-62AA-476D-8410-86CA064F5CA7}\RP62\A0070785.exe infected by "Backdoor.Agobot.gen" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{E949FC74-62AA-476D-8410-86CA064F5CA7}\RP63\A0072893.exe infected by "Backdoor.Agobot.hl" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{E949FC74-62AA-476D-8410-86CA064F5CA7}\RP63\A0072895.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. greetz boghog |
|
|
|
|
|
|
24.09.2004, 19:54
Member
Beiträge: 441 |
#30
@boghog
Du hast wahrlich eine nette Ansammlung von Backdoor Trojaner! Siehe http://oschad.de/wiki/index.php/Kompromittierung Zitat dass es was mit 'Volume' nit stimmt -.-. stimmt es?Was soll daran nicht stimmen? Das ist deine Systemwiederherstellung. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
wie kriegt man den weg? vielleicht kann deswegen kein server mehr aufbauen.
Logfile of HijackThis v1.98.2
Scan saved at 14:47:13, on 20.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
c:\programme\warcraft iii\war3.exe
C:\Dokumente und Einstellungen\MegachAos\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAB323A5-B6B4-4F3F-8976-221C6B744459}: NameServer = 217.237.**1.97 217.237.**0.33
greetz
boghog