|
keine Ahnung was los ist Hallo erstmal.Großes Lob an alle die hier helfen und sich Gedanken machen.RESPEKT. Ich habe seid heute morgen folgendes Problem.Gestern habe ich mir den Trailer zu Battlefield 2 runtergeladen.Wollte ihn mit dem Media Player öffnen, ging aber nicht.Also zog ich mir den Quicktime Player,womit es ging. Soweit so gut. Seid heute morgen hängen sich meine Internetseiten auf.Wenn ich eine schließen will, per x,geht die Seite weg, bleibt aber in der Taskleiste weiterhin stehen.Das selbe mit dem Taskmanager. Wenn ich den öffnen will,geht er auf aber nur unten rechts in der Taskbar,von wo ich ihn aber auch nicht öffnen kann.Habe den Spybot laufen lassen,welcher einige Sachen gefunden hat http://home.t-online.de/home/Carsten_Britta/Hilfe.JPG.Sorry das so groß. Bin ein Noob in Sachen Viren.usw. Bitte um Hilfe |
ist zwar aus eienm anderen forum, aber die antwort passt: http://www.rokop-security.de/board/i...ndpost&p=50069 rock |
also ich habe jetzt 1.3 runtergeladen und habe das Prg durchlaufen lassen. Er hat auch wieder 6 Sachen gefunden und angeblich behoben.Leider ist dem aber nicht so.Ich kann ca.5 min surfen,dann kann ich die Seiten wieder nicht schließen. Und wenn ich den Regcleaner öffne steht da immer was von wuampd.exe und zwar 3 mal. Hilfe ich will nicht formatieren |
Hallo carsten75, erstelle bitte ein Logfile mit Hijack This: http://www.trojaner-board.de/51130-a...ijackthis.html. SD |
Das DSO Exploit ist zunächst mal sekundar, dein Hauptaugenmerk sollte sich an diese wuampd.exe (Malware) richten. Überprüfe deshalb diese Datei bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis, sowie das HJT Log-File. |
LOG Logfile of HijackThis v1.98.2 Scan saved at 14:51:18, on 12.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\wuampd.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Carsten1\Desktop\Neuer Ordner (2)\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cgi6.ebay.de/ws/eBayISAPI.dll...&since=-1&rd=1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093370548058 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BCCAF97D-435C-450D-B104-752CD222E03B}: NameServer = 217.237.151.225 217.237.150.225 |
wuampd.exe wuampd.exe - packed with PE_Patch.Morphine wuampd.exe - packed with Morphine wuampd.exe - packed with UPX wuampd.exe Infiziert: Backdoor.Rbot.gen Statistiken: Bekannte Viren: 98981 Updated: 12-09-2004 Größe der Datei (Kb): 96 Viren-Korpus: 1 Datei: 4 Warnungen: 0 Archive: 0 Verdächtigt: 0 Und nu ???? |
@ carsten75, downloade nun bitte den eScan, erstelle einen Ordner (=Verzeichnis) c:\bases, entpacke den Inhalt in dieses Verzeichnis, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung in diesem Thread-6083 Teile uns bitte, zusammen mit dem Ergebnis des eScan, auch die Namen des Virus/der Viren mit: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: =>Total Number of Disinfected Files: =>Total Number of Files Renamed: =>Total Number of Deleted Files: Erstelle dann ein neues Logfile und poste es. SD [edit] Zitat:
|
@ carsten75 Backdoor.Rbot.gen => Zitat:
Eine Bereinigung durch AV Scanner ist imho nicht sinnvoll! http://oschad.de/wiki/index.php/Virenscanner Die sicherste Lösung wäre ein Neuaufsetzen deines Systems, um wieder einen vertrauenswürdigen Zustand herzustellen. http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. Deine Passwörter ändern 8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7 9. Surfverhalten überdenken Info zur Installation von Win XP findest du hier: http://8ung.at/chemikers-home/SETUP.html und http://chip-faq.rufisplanet.ch/installation.html |
escan,und er schrieb immer was von action renamend [0x0000035c] 12/09/2004 15:30:43:328 :[msvLclnt.dll]ModuleName = C:\bases\mwavscan.com [0x0000035c] 12/09/2004 15:30:43:343 :[msvLclnt.dll]Registry Key Deleted Properly!!! [0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400): [0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]TimeOut : ffffffff [0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]Priority : NORMAL [0x0000035c] 12/09/2004 15:30:46:593 :[msvLclnt.dll]VirusCount = 103823 Latest Date = 2004/09/12 [0x0000040c] 12/09/2004 15:31:32:562 :[msvLclnt.dll][00000001] File C:\WINDOWS\system32\wuampd.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:31:33:218 :[msvLclnt.dll][00000001] File C:\WINDOWS\system32\wuampd.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:43:41:343 :[msvLclnt.dll][00000001] File C:\Programme\mt.html infected by not-a-virus:Advware.MediaTickets.e [0x0000040c] 12/09/2004 15:43:41:359 :[msvLclnt.dll][00000001] File C:\Programme\mt.html infected by not-a-virus:Advware.MediaTickets.e [0x0000040c] 12/09/2004 15:44:34:281 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP53\A0010066.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:44:34:328 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP53\A0010066.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:46:15:593 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP89\A0012983.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:46:16:250 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP89\A0012983.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:46:29:109 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP92\A0013280.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:46:29:781 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP92\A0013280.exe infected by Backdoor.Rbot.gen [0x0000040c] 12/09/2004 15:58:42:906 :[msvLclnt.dll][00000001] File D:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP81\A0010840.exe infected by not-a-virus:Tool.Win32.Reboot [0x0000040c] 12/09/2004 16:01:08:578 :[msvLclnt.dll]VirusCount = 103823 Latest Date = 2004/09/12 [0x0000035c] 12/09/2004 16:03:42:140 :[msvLclnt.dll]VirusCount = 103823 Latest Date = 2004/09/12 |
@ cidre das was Du da gepostet hast auf english sieht nicht gut aus. Habe aber kein Bock zu formatieren,da ich auch noch einen Netzwerkrechner an meinem hängen habe.Habe kein Bock auf eine neue Netzwerkeinrichtung. Ich hoffe ich bekomme das ohne formatieren in Griff. :heulen: |
Zitat:
Bedenke, du bist ein Teil eines riesigen Netzwerkes (I-net) und stellst mit deinem System (Virenschleuder) ein Gefahr für andere I-net User dar. Wenn du es nicht für dich machst, dann mach es wenigstens für andere. btw: Trenne dein kompromittiertes System schnellstmöglich vom Netz. Hier noch eine deutsche Erklärung dazu: Was Backdoor Trojaner können: http://www.trojaner-info.de/beschreibung.shtml http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Trojaner_%28Computer%29 |
es bleibt mir ja nix anderes übrig. Vielen dank für Eure hilfe.Werde nun format c: |
Hallo Leute, ich als ziemlicher Computer-Laie benötige bitte Eure Hilfe. Beim Windows-Update habe ich für kurze Zeit die Norton Personal Firewall deaktiviert und habe dann nach einem Neustart des Systems bemerkt, dass die "wuampd.exe" auf das Internet zugreifen möchte. Das habe ich dann sofort mit der Firewall unterdrückt! Durch Norton Antivirus wurde keine Infektion erkannt. Auf "Kaspersky.Com" wurde die "wuampd.exe" jedoch als mit "backdoor.Rbot.gen" infiziert gemeldet. Da "wuampd.exe" im Taskmanager als aktiver Prozess angegeben wurde, habe ich diesen unter "msconfig>systemstart" deaktiviert. Nun wird er auch nicht mehr mitgestartet. Kann es sein, daß durch das sofortige Sperren per Firewall dieser Schädling noch keine Verbindung mit dem Internet aufgebaut hat und daher sein "Unwesen" auf dem Rechner noch nicht treiben konnte? Kann ich - wenn ich den Systemrestore abgeschaltet und den PC im abgesicherten Modus gestartet habe - die "wuampd.exe" sowie zwei gleichlautende Registrierungseinträge bedenkenlos löschen? Oder kann es sich hier doch um wichtige Systemdateien - die zwar infiziert sind - handeln, die man daher nicht löschen darf? Kann ich den Schädling ggf. mit dieser Vorgehensweise "im Schach" halten? Danke für Eure Antworten! Gruß digihunter |
Erstelle bitte ein Log mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste den Inhalt hier. Es handelt sich nicht um Systemdateien, sondern um neu angelegte. Du musst auch an deinem Sicherheitskonzept arbeiten, der entscheidende Schritt, die Verhinderung einer Infizierung, ist bei dir schon mal fehlgeschlagen, dann bleibt als letzte Hilfe noch die Hoffnung auf Zusatzsoftware wie Firewall und Antivirenscanner und die ist trügerisch. Lektüre: http://www.mathematik.uni-marburg.de...ompromise.html Aber poste bitte erst mal das Log. |
das glaub ich irgendwie nicht, das du dir das beim updaten auf der MS seite eingehandellt hast. man kommt dabei NUR auf die Microsoft-seite. Oder dein system bedarf möglicherweise vorhandener sicherheitspatch, die VOR der infektion wohl nicht installiert waren. ;). hast du beim winupdate auch sicherheitsupdates installiert oder sind alles notwendigen/wichtigen sicherheitspatch installiert? hast du die dateio mit kaspersky gecheckt oder nur in einem virenverzeichnis darüber gelesen... ja deine erklärung klingt gut zur entrfernung, wenn du sicher bist welche einträge es sind. ansonsten kannst du dir bei trendmicro oder bei anderen herstellern eine beschreibung zu der malware holen, zur manuellen entfernung in der registry usw.. ist aber leider meistens englisch. aber eigentlich sollte dein norton den doch kennen. versuch auch vorher einen scan mit Norton im abgesicherten modus!! rock |
Hallo, mir haben einige Patches gefehlt, die ich per Windows-Update installiert habe. Die "wuampd.exe" trägt das Erstellungsdatum und die Uhrzeit meines Windows-Updates! Jetzt sind alle Patches vorhanden. Ich habe bei Kaspersky.com die Datei in den Online-Virenscanner hochgeladen und da wurde mir das Ergebnis angezeigt. Ich bin zur Zeit leider im Büro und kann daher nicht im abgesicherten Modus scannen. (Kann das zu einem anderen Ergebnis führen als im Normalmodus???) War meine Aktion, die Datei aus dem Systemstart zu entfernen, richtig? Soll ich die Registry-Einträge wirklich manuell löschen? Das klingt mir irgendwie zu einfach; kann das den gewünschten Erfolg bringen? Ist "Trendmicro" die einzige Adresse, wo ich Entfernungsanweisungen erhalte? Bei Symantec gibt es auch eininge Anleitungen, jedoch ist bei den Schädlingen nie von der "wuampd.exe" die Rede - die heißen alle anders... Gruß digihunter |
es gibt über hundert varianten von Rbot...wenn du "deine" exe ausfinding gemacht hast, dann lösche sie im abgesicherten modus. wenn du die dazugehörigen regeinträge hast, auch weg damit! den abgesicherten modus verwendet man eben für soclhe reperaturen oder wartungsarbeiten. in diesem modus laden sich nur die notwendigsten treiber, das win hochkommt... versuch es trotzdem vorher mit Norton im abgesicherten modus...acht auch auf die einstellungen bei Norton das ALLE dateien untersucht werden sollen. besten gruss rock |
Hallo, ich denke, ich mach mir mal vorher eine Sicherung der betroffenen Registry-Einträge. Wenn in der Registtry z.B. folgender Eintrag steht, was muß dann gelöscht werden? HKLM.....: "WindowsUpdate" = "wuampd.exe" Soll dann nur die "wuampd.exe" gelöscht werden oder der davorstehende Eintrag "WindowsUpdate" auch? Gruß digihunter |
Poste doch nun das HijackThis-Log: http://filepony.de/download-hijackthis/ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board