Home » Viren, Trojaner & Malware Forum » Trojaner wuauclt.exe und integrator.exe » Themenansicht

Trojaner wuauclt.exe und integrator.exe
#0
25.09.2004, 00:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 Hallo @bohog

Deaktiviere die Wiederherstellung, boote und aktiviere sie wieder.
Dann scanne noch mal mit eScan und poste, was noch angezeigt wird.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.09.2004, 14:06
boghog
Member

Beiträge: 48
#32 hi Sabina,

was heisst 'booten'?

greetz
boghog
Seitenanfang Seitenende
25.09.2004, 14:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 den PC neustarten
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.09.2004, 14:11
Cidre
Member

Beiträge: 441
#34

Zitat

was heisst 'booten'
Hast du diesen Begriff (booten +lexikon) schon mal bei der Suchmaschine google eingegeben?
Ergebnisse 1 - 10 von ungefähr 12.300 Seiten auf Deutsch für booten lexikon . (0,13 Sekunden)

Such dir einen aus!
http://www.google.de/search?q=booten+lexikon&sourceid=mozilla-search&start=0&start=0&ie=utf-8&oe=utf-8&meta=lr%3Dlang_de
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
25.09.2004, 14:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35

Zitat

Cidre postete

Zitat

was heisst 'booten'
Hast du diesen Begriff (booten +lexikon) schon mal bei der Suchmaschine google eingegeben?
Ergebnisse 1 - 10 von ungefähr 12.300 Seiten auf Deutsch für booten lexikon . (0,13 Sekunden)

Such dir einen aus!
http://www.google.de/search?q=booten+lexikon&sourceid=mozilla-search&start=0&start=0&ie=utf-8&oe=utf-8&meta=lr%3Dlang_de
Lass ihn nur fragen,
@boghog ist ein alter, sehr spezieller "Kunde" hier...... ;)

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.09.2004 um 14:19 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.09.2004, 14:24
Cidre
Member

Beiträge: 441
#36 Hi Sabina,

Zitat

ist ein alter, sehr spezieller "Kunde" hier
das mag möglich sein, ändert aber nichts an der Tatsache, daß er auch mal selbst aktiv werden kann.
Aber es ist halt leichter in einen Forum eine Frage zu stellen und alles vorgekaut zu bekommen, als Eigeninitiative zu zeigen. ;)
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
25.09.2004, 14:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 Hallo @Cidre ;)

Ist doch schon alles gesagt mit "alter, SEHR spezieller Kunde" ..... ;)
Sonst wuerde ich auch nicht auf so eine Frage antworten, sondern schreiben: "googeln"

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2004, 19:03
Fabius
...neu hier

Beiträge: 2
#38 Hi Leute..
Der Theard ist alt, ich neu.. aber ich komm leider nicht weiter...
Hab versucht dem hier zu folgen, doch ich hab den durchblick leider nicht so ganz..
Hab mal HijackThis gezogen und ne log ersellt.. hier iss sie:

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 18:43:14, on 18.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\programme\cs\steam\steam.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mmc.exe
C:\Dokumente und Einstellungen\Fabius\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://by22fd.bay22.hotmail.msn.com/cgi-bin/HoTMaiL?curmbox=F000000001&a=6873197c366077b5a21f1a82352d663c
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\cs\steam\steam.exe" -silent
O4 - Global Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9717.dll' missing
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12a9bfbab39fb5ce2c17/netzip/RdxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38210.6909143519
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Nunja.. würde mich über Hilfe freuen..
Ich hab probiert wuauclt und wuauclt1 zu loeschen..
wuauclt1 is weg - hab aber noch keinen reboot gemacht seither.. wuauclt ist nach 10 sec wieder aufgetaucht...
in der registry fand ich drei einträge - habe sie gelöscht... bisher sind sie nicht mehr aufgetaucht...

mfg
Fabius
__________
Nemo enim potest personam diu ferre
Seitenanfang Seitenende
19.10.2004, 00:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 Hallo@Fabius

Im Prinzip ist das Log sauber ;)

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

Ueberpruefe folgendes:
C:\WINDOWS\DvzCommon\DvzMsgr.exe [DataViz Messenger ?]
C:\WINDOWS\system32\mmc.exe [ Microsoft Management Console ?]

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.10.2004 um 00:39 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.10.2004, 16:51
Fabius
...neu hier

Beiträge: 2
#40 Hallo@Sabrina

Ich hab die beiden Dinge gecheckt, sind sauber...

Nun.. ich hab mich halt gefragt, weshalb dass das windowsupdate-Teil immer da war, und stets auf 0% stand.. (normalerweise geht ein update bei mir 1 minute lang o.ä.... aber es steht nicht Tage auf 0%..) nun, ich wurde halt misstrauisch und sah mal bei den prozessen nach... da fand ich eben diesen Dienst, dem ich das Teil zu verdanken habe, und sah, dass es angeblich von mir, also vom Benutzer gestartet sein worden sollte... da bei mir die Windows Dienste aber normalerweise vom System gestartet werden, dacht ich mir, es könnte nen Trojaner sein.. da suchte ich bei google nach wuauclt, und fand als ersten eintrag wuauclt - trojan oder ähnlich.. deshalb dacht ich mir, es sei ein trojaner.. nun sagst du mir das Script sei sauber..... das versteh ich nicht ganz^^


Vielen Dank für deine Bemühungen

mfg
Fabius
__________
Nemo enim potest personam diu ferre
Seitenanfang Seitenende
19.10.2004, 16:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 Hallo @Fabius

;)as eScan AV Toolkit (mwav.exe) herunterladen,
http://www.rokop-security.de/board/index.php?showtopic=3867

und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.10.2004 um 16:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
20.10.2004, 00:45
palma
...neu hier

Beiträge: 5
#42 Liebe Sabina!
Also du bist wirklich eine gute Fee. Wieviel Mühe du dir hier machst ist echt beeindruckend.
Vielen Dank im Namen aller hier von dir geholfenen. ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123