C:\install\winupd.exe

GetBlack · 28.08.2011, 13:19

Hallo,

beim Start meines Windows 7 64bit System konnte ich heute ein für kurze Zeit erscheinendes CMD Eingabefenster erkennen, in dem augenscheinlich einige Befehle abgearbeitet wurden. Als Quelle war "C:\install\winupd.exe" angegeben.

Mein Virenscanner, Kaspersky Internet Security 2011, konnte die Datei nicht als Virus identifizieren. Ein Upload bei Virustotal brachte ebenfalls keine Funde.

Über Google bin ich auf folgendes Topic hier im Board gestoßen: http://www.trojaner-board.de/101714-...-trojaner.html

Die Datei ließ sich problemlos löschen und auch nach einem Neustart war sie nicht mehr vorhanden. Derzeit lasse ich einen Virenscan laufen.
Da ich meinen PC erst vor 3 Monaten auf Grund eines Virenbefalls formatiert habe, möchte ich dies nicht erneut tun. Ich hoffe ihr könnt mir helfen.

"Hans"-OTR Logs im Anhang.

Gruß,

cosinus · 28.08.2011, 16:13

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

GetBlack · 28.08.2011, 22:10

Malwarebytes Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7598

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

28.08.2011 23:08:44
mbam-log-2011-08-28 (23-08-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|I:\|)
Durchsuchte Objekte: 566981
Laufzeit: 57 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Backdoor.HMCPol.Gen) -> Value: HKCU -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
e:\Games\Uplink\uplink(de)\nmsupl.exe (PUP.HackTool.HotKeysHook) -> Quarantined and deleted successfully.

cosinus · 28.08.2011, 22:23

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

GetBlack · 28.08.2011, 23:07

Nein, nur dieser hier.

Gruß,

cosinus · 29.08.2011, 10:11

Führe auch bitte ESET aus, danach sehen wir weiter.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

GetBlack · 09.09.2011, 12:36

Scan Ergebnisse:

Code:

ATTFilter

C:\Users\Hans\AppData\Local\Temp\NERO1004930\unit_app_75\Toolbar.exe	Win32/Toolbar.AskSBar  application
E:\RECYCLER\S-1-5-21-1177238915-602162358-725345543-1004\Dd175.rar 	multiple threats

log.txt:

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK

cosinus · 09.09.2011, 14:06

Zitat:

Datenbank Version: 7598

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

28.08.2011 23:08:44

Ähm, der Scan ist ja shcpn fast zwei Wochen her!!
Malwarebytes updaten und einen neuen Vollscan machen! Oder hast du so lange zum Reagieren gebraucht?

GetBlack · 09.09.2011, 15:31

So lange zum Reagieren!

Der Eset Scan ist ja aktuell.

cosinus · 09.09.2011, 18:14

Nach dieser langen Zeit bräuchte ich ein neue OTL-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

28.08.2011, 16:13	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$C:\install\winupd.exe - Standard$ C:\install\winupd.exe Hallo und Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! __________________ __________________

28.08.2011, 22:23	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$C:\install\winupd.exe - Standard$ C:\install\winupd.exe Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. __________________ Logfiles bitte immer in CODE-Tags posten

C:\install\winupd.exe

Log-Analyse und Auswertung: C:\install\winupd.exe