Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: "winupdate.exe"... was ist es und wie entferne ich es?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.06.2009, 18:36   #1
rockschmock
 
"winupdate.exe"... was ist es und wie entferne ich es? - Frage

"winupdate.exe"... was ist es und wie entferne ich es?



Hallo liebe User, hallo liebe Helfer,

Eins vorweg: Mein Problem ist ein etwas Ausführlicheres^^

Seit einiger Zeit habe ich das Problem, dass sowohl der Internet Explorer, als auch Mozilla Firefox manchmal ohne ersichtlichen Grund nicht in der Lage sind beliebige Seiten aufzurufen, bzw. sie brauchen viel zu lange für den Verbindungsaufbau. Selstamerweise hatten andere Programme mit denen ich auf das Internet zugreife, keinerlei Probleme (Outlook, ICQ, McAfee Upater, iTunes)

Nach einem Windowsupdate vor etwa zwei Wochen meldete mir Windows Defender er hätte folgende Malware identifiziert und gelöscht: http://www.microsoft.com/security/portal/Entry.aspx?name=Backdoor%3aWin32%2fRbot.gen!A
Ob das was mit meinem Problem zu tun hat kann ich nicht sagen, aber das hat mich dann auf die Idee gebracht dass mein Internetproblem durch Malware verursacht wird.
Dann ist mir aufgefallen, dass der Task Manager mir eine Netzwerk Auslastung von 1-2% anzeigt, obwohl ich keine internetrelevanten Prozesse am laufen hatte. Ich habe mich dann auf die Suche gemacht nach der Anwendung die diese Auslastung verursacht, und habe sie dann mit dem T-DSL Manager gefunden: "winupdate.exe". Hörte sich im ersten Moment harmlos an, aber eine Recherche bei Google ergab gegenteiliges. Allerdings habe ich keine Lösung für mein Problem gefunden
McAfee Virus Scan hat natürlich, trotz Aktueller Definitionen, nichts gefunden.
Wenn ich den Prozess "winupdate.exe" beende dann tritt das Problem auch nicht mehr auf. Außerdem liegt diese Anwendung im Ordner "system32". Die habe ich da auch schon gelöscht, befürchte aber, dass die wiederhergestellt wird.

Meine Frage: Was ist "winupdate.exe" genau und wie kann ich sie entfernen?

Hier meine Malwarebytes und HiJack Logs:
#Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2254
Windows 5.1.2600 Service Pack 3

09.06.2009 18:46:08
mbam-log-2009-06-09 (18-46-01).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 314099
Laufzeit: 1 hour(s), 7 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft updater (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft updater (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\microsoft updater (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\winupdate.exe (Backdoor.Bot) -> No action taken.
#

#
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:47:49, on 09.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Styler\Styler.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Microsoft Office 2003\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft\Office Live\OfficeLiveSignIn.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Last.fm\LastFM.exe
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\Programme\CCleaner\CCleaner.exe
C:\Programme\Microsoft Office 2003\OFFICE11\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\iTunes\iTunes.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\GIMP-2.0\bin\gimp-2.6.exe
C:\Programme\GIMP-2.0\lib\gimp\2.0\plug-ins\script-fu.exe
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads & Wares\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Microsoft Updater] winupdate.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunServices: [Microsoft Updater] winupdate.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Microsoft Updater] winupdate.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: Styler.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1235387473046
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Update Service (gupdate1c9b91781770b7e) (gupdate1c9b91781770b7e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe

--
End of file - 10300 bytes
#


Und hier noch die Liste der Installierten Software auf meinem Rechner:
#
Adobe Flash Player
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
Adobe Shockwave Player
Age of Empires III Trial
Allgemeine Runtime Dateien
Apple Mobile Device Support
Apple Software Update
Ashampoo Burning Studio 2009
Ashampoo Burning Studio 6 FREE
Assassin's Creed
ATC for Splinter Cell Chaos Theory 1.0
Audacity 1.2.6
Avanquest update
BlueJ 2.5.1
Bonjour
Call of Duty(R) 4 - Modern Warfare(TM) Demo
CCleaner (remove only)
Crysis(R) SP Demo
Die Sims 2
DirectX 9.0c Zusatzdateien
dm Fotowelt
Drakensang - DEMO
DSL-Manager
FEAR
FIFA Fussball-Weltmeisterschaft 2006 (TM)
Free Disk Analyzer
Free YouTube to Mp3 Converter version 3.1
FUSSBALL MANAGER 09
GameCenter
GeoGebra
GIMP 2.6.5
Google Earth
Google Update Helper
Google Updater
GRID
GRID Demo
GTR 2 Demo
Guitar Pro 5.2
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows XP (KB915800-v4)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
HP Image Zone 4.2
HP PSC & OfficeJet 4.2
HP Software Update
HPSSupply
IconPackager
IconPackager
ICQ6.5
Image Resizer Powertoy for Windows XP
Internet Explorer 7
iTunes
Java(TM) 6 Update 6
Last.fm 1.5.4.24567
LibUSB-Win32-0.1.10.1
Malwarebytes' Anti-Malware
McAfee VirusScan Enterprise
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Office Live Add-in 1.3
Microsoft Office Professional Edition 2003
Microsoft Silverlight
Microsoft Visual C++ 2005 Redistributable
MobileMe Control Panel
Mozilla Firefox (3.0.10)
MSXML 4.0 SP2 (KB954430)
NVIDIA Drivers
NVIDIA nTune
OpenAL
Picasa 3
PixiePack Codec Pack
Pro Cycling Manager - Season 2008 1.0.2.3
QuickTime
RealPlayer
Realtek High Definition Audio Driver
RocketDock 1.3.5
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Singtel Ultimate Simulator v1.0
Skispringen 2007
Sony Ericsson PC Suite 4.010.00
Sony Ericsson Themes Creator 3.32
Sony Vegas Pro 8.0
SpeedFan (remove only)
Steam
Styler
SUPER © Version 2009.bld.35 (Jan 5, 2009)
Tom Clancy's Splinter Cell Chaos Theory
Uninstall 1.0.0.1
Unity Web Player
Update für Windows Internet Explorer 8 (KB968220)
Update für Windows XP (KB898461)
Update für Windows XP (KB943729)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update Service
VLC media player 0.9.8a
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Internet Explorer 8
Windows Live Anmelde-Assistent
Windows PowerShell(TM) 1.0
Windows Search 4.0
WinRAR
XML Paper Specification Shared Components Language Pack 1.0
#

Danke schonmal für alle Antworten!!!

Alt 09.06.2009, 19:37   #2
john.doe
 
"winupdate.exe"... was ist es und wie entferne ich es? - Standard

"winupdate.exe"... was ist es und wie entferne ich es?



Hallo und

Seit wann genau hast du Probleme?

Hast du die Funde von Malwarebytes löschen lassen?

1.) Systemdetails mit RSIT prüfen
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

2.) Erstelle ein Filelisting.
  • Lade die Datei listing0.bat auf deinen Desktop
  • Doppelklicke auf listing0.bat
  • Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Materialordner.de) hochladen und hier den Link posten.

Lasse dich nicht von den Fehlermeldungen verunsichern, das liegt an Vista.

3.) ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas
__________________

__________________

Alt 09.06.2009, 21:57   #3
rockschmock
 
"winupdate.exe"... was ist es und wie entferne ich es? - Standard

"winupdate.exe"... was ist es und wie entferne ich es?



cool, danke für die schnelle antwort, ich werde des morgen mit wachem verstand durchführen

Seit wann ich die Probleme genau habe... Lässt sich nicht so genau sagen, weil eine Unterbrochene Internetverbindung ist bei mir nichts ungewöhnliches, aber jetz ist es eben so, dass der Rechner ohne Probs am Router hängt und der hat ne 1A Verbindung ins Netz... Nur seit wann das genau ist... seit etwa einem Monat...

Und nein, ich habe die Befunde noch net gelöscht, ich wollte erstma einen Pro zu meinem Thema hören

Zitat:
das liegt an Vista
Das sollte mich als XP User net Jucken

Ich werde morgen die Liste brav abarbeiten und die Logs und die Ergebnisse posten

thx und ciao
__________________

Alt 10.06.2009, 11:36   #4
rockschmock
 
"winupdate.exe"... was ist es und wie entferne ich es? - Standard

"winupdate.exe"... was ist es und wie entferne ich es?



So, habe alle Tools laufen lassen,

hier die Links zu den Ergebnissen (Allein schon der RSIT Log war zu groß für einen Post, deshalb hab ichs als *.txt hochgeladen)

RSIT:
Hier log.txt: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Lier info.txt: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

listing0.bat
Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Combofix
Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Alt 10.06.2009, 18:14   #5
john.doe
 
"winupdate.exe"... was ist es und wie entferne ich es? - Standard

"winupdate.exe"... was ist es und wie entferne ich es?



Zitat:
seit etwa einem Monat...
Dann ist es nur sehr schwer möglich alles zu finden. Du sparst dir eine Menge Zeit wenn du diesen Weg wählst: http://www.trojaner-board.de/51262-a...sicherung.html

Hast du die automatische Anmeldung aktiviert?

Ist das eine legale Windowsversion?

1.) Deinstalliere (falls möglich):
  • Apple Software Update
  • Bonjour
  • Google Update Helper
  • Google Updater
  • HP Software Update
  • Java(TM) 6 Update 6
  • PixiePack Codec Pack
  • Uninstall 1.0.0.1
  • Unity Web Player
2.) Lade die Dateien:
Code:
ATTFilter
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_7b12541d.exe
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{457791C5-D702-4143-A7B2-2744BE9573F2}\NewShortcut1_5B69D3033CA54B39B5ECE7D051297E77.exe
         
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

3.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

Driver::
OMSCAN
gupdate1c9b91781770b7e
appdrvrem01
appdrv01

RegLockDel::
[HKEY_USERS\S-1-5-21-1390067357-1343024091-1177238915-500\Software\Microsoft\Internet Explorer\User Preferences]
[HKEY_USERS\S-1-5-21-1390067357-1343024091-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Clsid]

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"Ø[’|€ø"=-
"c:\\WINDOWS\\system32\\mmc.exe"=-
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=-
"UpdatesDisableNotify"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"=-
"NoSMMyPictures"=-
"NoSMMyDocs"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"=-
"NoSMMyPictures"=-
"NoSMMyDocs"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"=-
"NoFileAssociate"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"=-
"ShowDeskFix"=-
"nltide_3"=-
"IE7"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"HP Software Update"=-
"TkBellExe"=-
"QuickTime Task"=-
"iTunesHelper"=-
"nwiz"=-
"RTHDCPL"=-

Folder::
C:\rsit
c:\windows\NV21082492.TMP
c:\programme\Google\Update
c:\programme\Google\Google Updater
c:\programme\Google\GoogleToolbarNotifier
c:\programme\Unity

File::
c:\windows\Tasks\Google Software Updater.job
c:\windows\Tasks\GoogleUpdateTaskMachine.job
c:\windows\Tasks\HPpromotions psc 2350 series.job

DirLook::
c:\windows\system32\wbem\Repository
C:\Programm
C:\Sun
c:\dokumente und einstellungen\Administrator\.SunDownloadManager
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.


ciao, andreas

__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 10.06.2009, 19:35   #6
rockschmock
 
"winupdate.exe"... was ist es und wie entferne ich es? - Standard

"winupdate.exe"... was ist es und wie entferne ich es?



hmm... an Neuaufsetzen habe ich auch schon gedacht, aber ich habe momentan keine Windows CD...

Automatische Anmeldung habe ich deaktiviert.

Ob diese Windows Version legal ist? Sagen wirs so: Sie stammt nicht von einer im Werk gepressen CD sondern aus dem reichhaltigen Sortiment eines Bekannten, der sie anfang des Jahres zum Aufsetzen meines Rechners geliehen hat.

1.: Alles Deinstalliert

2.: Die erste Datei konnte ich finden, die Zweite war nicht mehr da auch der übergeordnete Ordner war auch gelöscht. Er kann auch nicht versteckt sein, weil ich lasse standardmäßig alle Ordner und Dateien anzeigen, egal ob sie versteckt sind oder nicht. Ich habe die erste zumindest bei euch hochgeladen.

3.: Combifx log ist wieder einmal zu Groß für einen Beitrag, habs hier hochgeladen: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de


Mal ne ganz andere Frage: Ich weiß ja wie ich den verdächtigen Prozess zumindest bis zum neustart des Systems beenden kann. Ist es dann zwingend notwendig, dass ich mein System neu aufsetze, falls ich die Malware nicht ohne Neuinstallation von XP entfernt bekomme?

Alt 10.06.2009, 19:53   #7
john.doe
 
"winupdate.exe"... was ist es und wie entferne ich es? - Standard

"winupdate.exe"... was ist es und wie entferne ich es?



1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als PN.

3.) Aktiviere den Wächter von Avira.

4.) Poste ein aktuelles HJT-Log.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 10.06.2009, 21:06   #8
rockschmock
 
"winupdate.exe"... was ist es und wie entferne ich es? - Standard

"winupdate.exe"... was ist es und wie entferne ich es?



gut ich hab zwar kein avira, aber ich nehme an du meinst den wächter von meinem virenscanner (McAffe )

nunja, hier der Qoobox Ordner: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

und hier die aktuelle HJT Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:05:01, on 10.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Styler\Styler.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Last.fm\LastFM.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads & Wares\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - Startup: Styler.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1235387473046
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe

--
End of file - 6605 bytes

Alt 10.06.2009, 21:51   #9
john.doe
 
"winupdate.exe"... was ist es und wie entferne ich es? - Standard

"winupdate.exe"... was ist es und wie entferne ich es?



Zitat:
gut ich hab zwar kein avira, aber ich nehme an du meinst den wächter von meinem virenscanner (McAffe )
Genau.

Kommen wir zur Beantwortung deiner Fragen:
Zitat:
"winupdate.exe"... was ist es
Bericht von VT (McAfee erkennt ihn noch nicht):
Virustotal. MD5: d8b4f351f8b66ad08fa74c02579297f4 Trojan Horse Trojan.Dropper.Gen a variant of Win32/Injector.KL
Code:
ATTFilter
Datei winupdate.exe empfangen 2009.06.10 20:31:13 (UTC)
Status:    Beendet 
Ergebnis: 13/39 (33.34%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.18	2009.06.10	Trojan.Generic!IK
AhnLab-V3	5.0.0.2	2009.06.10	-
AntiVir	7.9.0.183	2009.06.10	TR/Dropper.Gen
Antiy-AVL	2.0.3.1	2009.06.10	-
Authentium	5.1.2.4	2009.06.10	-
Avast	4.8.1335.0	2009.06.09	Win32:Trojan-gen {Other}
AVG	8.5.0.339	2009.06.10	-
BitDefender	7.2	2009.06.10	Trojan.Generic.1703401
CAT-QuickHeal	10.00	2009.06.10	-
ClamAV	0.94.1	2009.06.10	-
Comodo	1308	2009.06.10	Unclassified Malware
DrWeb	5.0.0.12182	2009.06.10	-
eSafe	7.0.17.0	2009.06.10	-
eTrust-Vet	31.6.6551	2009.06.10	-
F-Prot	4.4.4.56	2009.06.10	-
F-Secure	8.0.14470.0	2009.06.10	-
Fortinet	3.117.0.0	2009.06.10	-
GData	19	2009.06.10	Trojan.Generic.1703401
Ikarus	T3.1.1.59.0	2009.06.10	Trojan.Generic
K7AntiVirus	7.10.760	2009.06.10	-
Kaspersky	7.0.0.125	2009.06.10	-
McAfee	5642	2009.06.10	-
McAfee+Artemis	5642	2009.06.10	-
McAfee-GW-Edition	6.7.6	2009.06.10	Trojan.Dropper.Gen
Microsoft	1.4701	2009.06.10	VirTool:Win32/Obfuscator.EZ
NOD32	4145	2009.06.10	a variant of Win32/Injector.KL
Norman	6.01.09	2009.06.10	-
nProtect	2009.1.8.0	2009.06.10	-
Panda	10.0.0.14	2009.06.10	Trj/CI.A
PCTools	4.4.2.0	2009.06.10	-
Prevx	3.0	2009.06.10	Medium Risk Malware
Rising	21.33.24.00	2009.06.10	-
Sophos	4.42.0	2009.06.10	-
Sunbelt	3.2.1858.2	2009.06.10	-
Symantec	1.4.4.12	2009.06.10	Trojan Horse
TheHacker	6.3.4.3.342	2009.06.10	-
TrendMicro	8.950.0.1092	2009.06.10	-
VBA32	3.12.10.7	2009.06.10	-
ViRobot	2009.6.10.1779	2009.06.10	-
weitere Informationen
File size: 313856 bytes
MD5...: d8b4f351f8b66ad08fa74c02579297f4
SHA1..: f75fafa3801ba9f19ab1c3436d9a87a7c89856bf
SHA256: cb09c15bc6b679d41a4066128c204aaa4e6f03b052d48587c2de2a2ec188b9a7
ssdeep: -
PEiD..: -
TrID..: File type identification
Win32 EXE PECompact compressed (generic) (41.8%)
Win32 Executable MS Visual C++ (generic) (37.9%)
Win32 Executable Generic (8.5%)
Win32 Dynamic Link Library (generic) (7.6%)
Generic Win/DOS Executable (2.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2408
timedatestamp.....: 0x496a2311 (Sun Jan 11 16:49:21 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7444 0x7600 6.58 34c216e2b90f39dddb90e81a3bc3aabf
.mydoc 0x9000 0x5880 0x5a00 5.63 8c7b75af3169225bff8bcf88c85e63fc
.rsrc 0xf000 0x3f5fc 0x3f600 8.00 438f0f421105efa00743dcf425a9676c

( 3 imports ) 
> KERNEL32.dll: CreateFileA, lstrcatA, GetSystemDirectoryA, ReadProcessMemory, GetCurrentProcess, GetProcAddress, GetModuleHandleA, lstrlenA, LoadLibraryA, FreeLibrary, GetModuleFileNameA, CloseHandle, GetTempPathA, LocalFree, CheckRemoteDebuggerPresent, ContinueDebugEvent, WaitForDebugEvent, CreateProcessA, IsDebuggerPresent, LocalAlloc, lstrcmpA, WriteFile, ExitProcess, GetLastError, DeleteFileA, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, GetStartupInfoA, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, DeleteCriticalSection, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, Sleep, VirtualAlloc, HeapReAlloc, RtlUnwind, HeapSize, MultiByteToWideChar, GetLocaleInfoA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW
> USER32.dll: MessageBoxA
> ADVAPI32.dll: GetUserNameA, RegOpenKeyExA

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=d8b4f351f8b66ad08fa74c02579297f4' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=d8b4f351f8b66ad08fa74c02579297f4</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=CE29F40D004E0352CA1704A4E0F7B50029E50974' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=CE29F40D004E0352CA1704A4E0F7B50029E50974</a>
         
Zitat:
und wie entferne ich es?
Zitat:
Sie stammt nicht von einer im Werk gepressen CD sondern aus dem reichhaltigen Sortiment eines Bekannten
Ganz simpel. Kaufe dir entweder eine Windows-Cd und setze dein System neu auf oder hole dir eines der zahlreichen Linuxderivate (Ubuntu ist zur Zeit am angesagtesten), die sind umsonst und da gibt es auch keine Probleme mit Schädlingen.

Bericht von Sunbelt: Malware Report for ID: 7396490

Bericht von ThreatExpert: ThreatExpert Report: Trojan Horse, Trojan.Generic

Du bist entlassen,
andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 10.06.2009, 22:08   #10
rockschmock
 
"winupdate.exe"... was ist es und wie entferne ich es? - Standard

"winupdate.exe"... was ist es und wie entferne ich es?



okay, dann fürs erste vielen dank für die hilfe, ich werde mal schauen ob ich günstig an eine windows cd komme, mit linux habe ich so gar keine erfahrungen daher würde ich vll. auch noch den RC von Win 7 installieren, den habe ich schon auf einer anderen Festplatte getestet und läuft auf meinem System recht sauber.

Soweit ich es auch überblicken kann startet winupdate.exe auch nicht mehr beim booten, ich habe also im moment auch internettechnisch keine probleme mehr. Ich sehe daher keinen akuten Grund meinen Rechner neu aufzusetzen.


Nochmal danke für die Unterstützung
rockschmock

Alt 10.06.2009, 22:13   #11
john.doe
 
"winupdate.exe"... was ist es und wie entferne ich es? - Standard

"winupdate.exe"... was ist es und wie entferne ich es?



Zitat:
Soweit ich es auch überblicken kann startet winupdate.exe auch nicht mehr beim booten, ich habe also im moment auch internettechnisch keine probleme mehr. Ich sehe daher keinen akuten Grund meinen Rechner neu aufzusetzen.
Nur weil die Symptome verschwunden sind, hältst du dich für geheilt?

Dann lies das hier: http://www.trojaner-board.de/65029-t...tml#post394394

Ich bin raus,
andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu "winupdate.exe"... was ist es und wie entferne ich es?
auslastung, backdoor, bho, bonjour, components, converter, disabled.securitycenter, entfernen, excel, firefox, frage, gen 2, google, google update, gupdate, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet explorer 8, malware, malwarebytes' anti-malware, microsoft office 2003, mozilla, mp3, netzwerk, officejet, plug-ins, problem, registrierungsschlüssel, rundll, scan, software, studio, system, virus, windows internet, windows internet explorer, windows xp, winupdate.exe



Ähnliche Themen: "winupdate.exe"... was ist es und wie entferne ich es?


  1. Wie entferne ich "Script.Adware.DealPly.G (Engine B)" unter Windows7?
    Log-Analyse und Auswertung - 06.10.2015 (20)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Wie entferne ich "Conduit.com"? (logfiles bereits erstellt und gepostet)
    Log-Analyse und Auswertung - 20.01.2014 (11)
  4. Ungwollte Startseite/Suchmaschine: " http://www.searchnu.com/413" - wie entferne ich das?
    Plagegeister aller Art und deren Bekämpfung - 13.12.2013 (11)
  5. wie entferne ich " snap.Do " von meinem PC, Deinstallation bisher erfolglos
    Log-Analyse und Auswertung - 19.11.2013 (3)
  6. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  7. Wie entferne ich den Trojaner "softwareUpdater.Ui.exe"
    Log-Analyse und Auswertung - 27.10.2013 (7)
  8. "GAS Tecnologia Filter Driver" : wie entferne ich das?
    Plagegeister aller Art und deren Bekämpfung - 11.10.2013 (2)
  9. Wie entferne ich auf Windows 7 im abgesicherten Modus einen "BKA Trojaner"
    Log-Analyse und Auswertung - 01.08.2013 (5)
  10. Wie entferne ich dieses "oracle java" ????
    Plagegeister aller Art und deren Bekämpfung - 04.04.2013 (2)
  11. "Google Update"-Addon ist deinstalliert wie entferne die Registryeintragungen
    Alles rund um Windows - 06.02.2013 (0)
  12. Wie entferne ich Mystart / "Incredibar" Toolbar?
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (25)
  13. Wie entferne ich Virus "System Security" ohne Internetverbindung?
    Plagegeister aller Art und deren Bekämpfung - 07.07.2009 (17)
  14. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  15. Wie entferne ich einen "BOO/Sinowal.A-Virus" der im MBR ist?
    Plagegeister aller Art und deren Bekämpfung - 01.07.2008 (13)
  16. Wie entferne ich die Popup Seuche "itrack.it"
    Plagegeister aller Art und deren Bekämpfung - 14.09.2005 (3)
  17. Hilfe! Wie entferne ich "Home Search" aus dem IE?
    Log-Analyse und Auswertung - 04.09.2004 (35)

Zum Thema "winupdate.exe"... was ist es und wie entferne ich es? - Hallo liebe User, hallo liebe Helfer, Eins vorweg: Mein Problem ist ein etwas Ausführlicheres^^ Seit einiger Zeit habe ich das Problem, dass sowohl der Internet Explorer, als auch Mozilla Firefox - "winupdate.exe"... was ist es und wie entferne ich es?...
Archiv
Du betrachtest: "winupdate.exe"... was ist es und wie entferne ich es? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.