wuampd.exe formatieren und neuaufsetzen
 

seit kurzem ist der wurm wuampd.exe auf meiner winXP pro zu finden.
das suchen bei google und auch hier war erfolglos. durch meine firewall ist er nicht aktiv, also stört er mich nicht wirklich ... noch nicht.
escan hat dann auch noch so einiges gefunden. und nun hab ich eine frage an euch: System neu aufsetzen, oder die Mühe machen das alles wieder hinzukriegen?

hier mal die das hijacklog :

Logfile of HijackThis v1.99.0
Scan saved at 20:04:25, on 26.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Creative\SBAudigy\AudioHQ\AHQTBU.EXE
C:\WINDOWS\System32\wuampd.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ICQ\Icq.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Programme\TerraTec\CinergyTV\TerraTV App.exe
C:\WINDOWS\regedit.com
C:\Dokumente und Einstellungen\Marten\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [AudioHQU] C:\Programme\Creative\SBAudigy\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{71BB7C0B-FFAB-427A-805C-DC9C83ADEBE9}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

falls es hilft kann ich auch noch das log von escan reinstellen.
bin gespannt auf eure Meinung
ein par tips wie man wuampd.exe nun doch runterkriegt würden mich auch sehr freuen
danke

demar

Es dürfte sich um eine "Bot-Variante" handeln (müsste auch im eScan-Log stehen)=> System neu aufsetzen und an diese Anleitung halten.

@demar

guckst du hier
http://www.trendmicro.com/vinfo/viru...e=WORM_RBOT.UM

seit kurzem ist der wurm wuampd.exe auf meiner winXP pro zu finden.
das suchen bei google und auch hier war erfolglos. durch meine firewall ist er nicht aktiv, also stört er mich nicht wirklich ... noch nicht. :confused: :confused:


escan hat dann auch noch so einiges gefunden. und nun hab ich eine frage an euch: System neu aufsetzen, oder die Mühe machen das alles wieder hinzukriegen?

man kann dich nur empfehlen dein system neu aufzusetzen(formatc)

folge den link von Haui45
sry
chaosman

ja ne, eigentlich wollte ich ja eine andere lösung hören als das system neu aufzusetzen. das hab ich grad erst getan und ich hab nicht wirklich lust dazu das schon wieder zu machen.
also gibt es nun eine alternative?
irgendeine?

danke

NEIN!

Link von Cidre beachten der gepostet wurde!

Alternative ist allerdings deinen Rechner vom Netz zu nehmen und nicht mehr an zu machen,zum Schutze der anderen User.....

Nein, da du DICH und auch Andere I-net User gefährdest!

Eine Empfehlung zum Neuaufsetzen des Systems posten wir nicht um dich zu ärgern, sondern um dein System wieder in einem sicheren und vertrauenswürdigen Zustand zu bringen.

Hast du den Link bezüglich der Gefährlichkeit von Rbot wirklich gelesen?
Ansonsten les hier nochmal nach -> http://www3.ca.com/securityadvisor/v....aspx?id=39437

"point"
so nun ist frisch aufesetzt ... und schon weiß ich warum ich linux eben doch lieber mag. sch... windows update funktion lässt mich nach 64 prozent und ca 1 1/2 stunden einfach hängen. war ja klar.
ich hab in sachen updates eh keine so guten chancen da ich ja nur eine isdnleitung besitze. da ist ein update für antivir schon ne tages-aufgabe.
mal was ganz anderes.
durch was wird Win32.Rbot, denn nun hauptsächlich übertragen? mehr als firefox und icq benutz ich nicht. auch eine firewall war aktiviert: spf, von der ich übrigens nicht sehr begeistert bin. habt ihr da noch eine idee welche kostenlose besser ist? wäre nett
naja ich werd dann mal reboot, der download geht ja eh nicht weiter und ... und ich bin noch nicht fertig mit system neuaufsetzen

Was kommt denn bei dem Update genau für eine Fehlermeldung?

Solche Teile werden in der Regel durch ungepatchde Systeme verbreitet,manche dieser Würmer "scannen" eben gewisse Ports und infizieren den PC so,kann man sooo genau nicht sagen jetz,kommt immer auf den Schädling an..

juhu freude,
man glaubt es nicht nach 20 minuten nichts tuen. *wusch* fertig. nun ist es vollbracht die downlaods sind unten und ich kan updaten, bis gleich

Wenn du dein System aktualisiert hast, solltest du nochmal ein Logfile posten.

Logfile of HijackThis v1.99.0
Scan saved at 22:37:45, on 27.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\Internet\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Trickler] "c:\programme\divx\divx pro codec\gain_trickler_3202.exe"
O4 - HKLM\..\RunOnce: [IE 3.0 RegSvr schannel.dll] C:\WINDOWS\System32\regsvr32.exe /s C:\WINDOWS\System32\schannel.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106856130203
O17 - HKLM\System\CCS\Services\Tcpip\..\{00992948-1ED3-4181-82D6-B3B3E79D4431}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{00992948-1ED3-4181-82D6-B3B3E79D4431}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


das ist das von genau eben grade :-D
hoff mal das ist clear

muss nur noch xpantispy ausführen

boah ich glaubs nicht, wieviel updates kann man denn runterladen ich dacht nach den 17 mb wäre erstmal ruhe und schon sind wieder massig zum download ... eh wenn servicepack2 nicht so scheiße wäre würd ich das ja installieren, aber denn funzt hier gar nichts mehr ...
als wenn ich nichts besseres zu tuen hätte als die ganze zeite meine kleine bandbreite an updates zu verschwenden.
muss ich wohl einmal durch

Zunächst ist es wichtig, dass du alle empfohlenen und sicherheitsrelevanten Patches installierst. Das SP2 kannst du auch kostenlos von MS auf CD bestellen oder eventuell mal nach älteren PC Zeitschriften Ausschau halten, denn da war das SP2 auch beigefügt.

Diesen Eintrag fixen und dementsprechend die Datei löschen:
O4 - HKLM\..\Run: [Trickler] "c:\programme\divx\divx pro codec\gain_trickler_3202.exe"

http://www.derfisch.de/Warum-ich-XP-...nicht-mag.html

an service pack 2 hab ich aber kein interesse, denn laufen so einige anwendungen nicht mehr richtig oder gar nicht. bin jetzt frisch geupdatet

das zu xpantispy ...
klingt logisch was da auf der seite steht
werd das dann wohl lassen, dachte eigentlich das es "sinnvoll ist"
da hab ich mich wohl geirrt.
hier mal ein hijack log nach den ganzen updates:



Logfile of HijackThis v1.99.0
Scan saved at 15:53:36, on 28.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Winamp\winamp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\Marten\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106856130203
O17 - HKLM\System\CCS\Services\Tcpip\..\{00992948-1ED3-4181-82D6-B3B3E79D4431}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{00992948-1ED3-4181-82D6-B3B3E79D4431}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



das ist ja schon wesentlich kürzer geworden
und noch was gefunden?
dann bitte ich um meldung
danke

Dein Log-File ist zwar kürzer, aber du installierst dir wieder eine nicht vertrauenswürdige Software!

Fixe:
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Lösche diese Ordner:
C:\Programme\Gemeinsame Dateien\CMEII
C:\Programme\Gemeinsame Dateien\GMT

ja, da hast du recht
diese programme hatten doch gleich 3 prozesse laufen, nun gelöscht
und hier is das neue log:

Logfile of HijackThis v1.99.0
Scan saved at 19:42:39, on 29.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Marten\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106856130203
O17 - HKLM\System\CCS\Services\Tcpip\..\{00992948-1ED3-4181-82D6-B3B3E79D4431}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{00992948-1ED3-4181-82D6-B3B3E79D4431}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

----->
was ist ctfmon.exe, nwiz.exe
und warum ist in C:\programme\gemeinsame\gmt datien noch eine datei names gmt.exe? den ordner hab gmt hab ich gelöscht und ers sollte eigentlich nicht mehr da seien ...
prima, und das nach 71 mb updates :D

ah, nun weiß ich was das mit dem gmt.exe ist
ist ja nur um autostartordner und quasie ne verknüpfung
--> auch behoben

Diese Dateien sind sauber. Wenn du mehr über den Sinn der Dateien erfahren willst, dann solltest du danach googeln und die Ergebnisse lesen.

http://filepony.de/download-winpatro...ample/gmt.html

hatte ganz vergessesn spybod mal durchlaufen zu lasuen ...
boing, 5 einträge. habe alle gelöscht
GAIN - kram war "natürlich" auch dabei.
werd ersmal los

dankeschön nochmal

tschuldigung, das war ja ein beschissenes deutsch.
macht der zeitdruck

nun das ganze nochmal auf dem rechner von meinem dad.
schaut euch das bitte auch mal an.

bin schon dabei die windows updates einzuspielen

Logfile of HijackThis v1.99.0
Scan saved at 12:28:06, on 30.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\msie.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSI\Common\Bin\WinCinemaMgr.exe
C:\Programme\MSI\WinDVR\WinScheduler.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\DOKUME~1\user\LOKALE~1\Temp\Rar$EX00.282\HijackThis.exe
C:\WINDOWS\explorer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\user\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.11:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunServices: [Microsoft upnp Update] msie.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Dokumente und Einstellungen\user\Anwendungsdaten\ROXIO\PhotoSuite4\Temp\ROXIO00000.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware Authorization Service - Unknown - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - Unknown - C:\WINDOWS\System32\vmnat.exe


danke

Nur eine Antwort:
Armer dad, Rechner neu aufsetzen. Andere Antwort gibt´s nicht, und zwar deswegen:
Er hat den da drauf und der macht foglendes:

steal CD keys

capture clipboard data

delete network shares on the host computer

log keystrokes

capture images from the computer screen and web camera

enumerate the list of running processes on the computer and reduce the privileges on these processes

download and run files from the internet

transfer files via TFTP on port 69

steal computer system information (computer name, available memory, drive types etc.)

perform SYN flood and partake in DoS attacks

Also, unbedingt cidre´s Tipps beachten!
cacatoa

och nö, das passt mir jetzt gar nicht ...
erstmal googlen

woran seh ich denn, das er den W32/Rbot-LE hat?
neuaufsetzen is kritisch, weil mein dad den rechner echt brauch. für neuaufsetzen is da keine zeit.
bin schon am suchen,das muss man doch auch irgendwie löschen können ...

Wenn dein Dad den Rechner brauch,nehm ihn solange vom Netz bis er oder du Zeit hat ihn zu formatieren,nicht nur zum eigenen Schutz,sondern auch zu dem Schutz der anderen User...

Es bleibt nur format c: wieso und weshalb steht in Cidre`s Anleitung Punkt für Punkt!

Gruss

och menno ...

hier ist das neue hijackthis log von meinem dad
hab msie.exe mal versucht zufuß zu löschen ...
sowohl in der registri als auch als datei
scheint weg zu seien, aber das seht ihr sicher besser als ich.
ich werd mal versuchen seine platte mit dem service pack 2 sicher zu machen

Logfile of HijackThis v1.99.0
Scan saved at 16:37:13, on 30.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\user\LOKALE~1\Temp\Rar$EX00.922\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.11:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Dokumente und Einstellungen\user\Anwendungsdaten\ROXIO\PhotoSuite4\Temp\ROXIO00000.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107085038093
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware Authorization Service - Unknown - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - Unknown - C:\WINDOWS\System32\vmnat.exe

Willst du,oder kannst du nicht verstehen?

http://oschad.de/wiki/index.php/Kompromittierung

Aber o.k,mach was du denkst....

ja verdammt, es muss doch auch mal einen anderen weg geben als bei jedem kleinen wurm gleich das ganze system neu aufzusetzten.
hab den rechner von meinem dad erstmal vom netz genohmmen.
werd daran weitermachen wenn ich mal wieder lust habe windows xp neuzuinstallieren. schade auch das er sich nicht an linux gewöhnen kann oder will.
nächsten sonntag hab ich sicher lust dazu. bisdahin muss er "netzlos" arbeiten, oder halt auf meiner feseplatte.

Den RBot nennst Du einen kleinen Wurm...
Was ist denn dann ein großer für dich?
Außerdem heißt es nicht nur Windows neu draufzuspielen, sondern format C:\
cacatoa

"von "draufspielen" war schon mal gar nicht die rede, sonder von system neuafsetzen und das beinhaltet das man windows neuinstalliert, undzwar auf einer frisch formatierten partition."
:mister neunmalklug :lach: