Komische datei

Internet Internet Sicherheit
#1

Hallo

Wer kann mir näheres zu folgender Datei sagen? WUAMPD.exe
Diese Datei befand sich seit heut morgen auf meiner Festplatte im Ordner Windows/System32 und versuchte immer wieder einen Registry-Eintrag zu erzwingen und meinen Autostart-Ordner zu manipulieren. Immer wenn dies geschah wurde mir das von ad-watch gemeldet und ich habe blockiert.
Allerdings war diese wuampd.exe danach immernoch aktiv und lies sich im Taskmanager auch nicht beenden. Teilweise liesen sich ab diesen Zeitpunkt auch kaum noch Anwendungen starten. Habe diese Datei jetzt gelöscht und im Moment läuft auch wieder alles bestens.
Was also genau ist das für eine Datei und hat sich das mit dem Löschen auch schon erledigt?

Grüße

#2

Na Klasse, kaum fertig geschrieben und wieder ist diese Datei da. Habe keinen Zugriff auf regedit, taskmanager, ad-aware, antivir usw. Was hab ich mir da eingefangen. Kann ja eigentlich kein Virus sein oder? AntiVir hat jedenfalls nix gemeldet. Bitte um Hilfe, bin ratlos.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#3

hi,
hattest du was installiert? (kann ja auch was normales sein - in google gibts derweilen noch keine relevanten einträge dazu.)
lg
m

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#4

Hab ja selbst schon gegoogelt. Ich selbst hab nix installiert. Die Datei war heut früh einfach auf meinem Rechner.
Ich hab mir mal SpyBot gezogen und drüber laufen lassen. Was der so alles gefunden hat war ja nun auch nicht mehr schön, aber ob das eigentliche Problem damit gegessen ist weis ich auch noch nicht. Im Moment hab ich erstmal Ruhe.
Das einzige was ich mit Google gefunden hab, ist das die Datei zu irgendeinem Wurm gehören soll. Allerdings weis ich nicht zu welchem und selbst wenn hätte mir es ja mein Virenscanner melden müssen. Der ist auf dem aktuellen Stand.
Sollte vielleicht doch noch jemand ne Idee haben dann bitte melden.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#5

Neuinstallation

Na Klasse, kaum fertig geschrieben und wieder ist diese Datei
da. Habe keinen Zugriff auf regedit, taskmanager, ad-aware,
antivir usw. Was hab ich mir da eingefangen. Kann ja
eigentlich kein Virus sein oder? AntiVir hat jedenfalls nix
gemeldet. Bitte um Hilfe, bin ratlos.

Alleine anhand eines Dateinamens hast du inzwischen keine Chance mehr, einen Schädling zu identifizieren. Und auch die üblichen Tools sind mittlerweile nicht mehr in der Lage, ein erfolgreich infiziertes System als solches zu erkennen, geschweige denn zu säubern. Allenfalls eine Analyse der Platteninhalte in einem anderen System, z. B. mit Hilfe einer Knoppix-Boot-CD kann dir noch helfen, Spyware und Konsorten vollständig zu identifizieren. Eine zufriedenstellende Säuberung ist auch dann aber nicht möglich, da aktuelle Spyware ihre Dateien und Registryeinträge mittlerweile unter (Pseudo)zufälligen Namen über’s System streut.

Du kannst Spyware mit viel Aufwand funktionsuntüchtig machen, ihre Fragmente vollständig aus dem System zu entfernen und ihre Reinstallation sicher zu unterbinden käme einer Sisyphosaufgabe gleich.

Abhilfe schafft ausschliesslich eine vollständige Neuinstallation, Einspielen aller Patches sowie zukünftiger vollständiger Verzicht auf die Nutzung des IE.

Gruss
Schorsch

#6

Hi

Ich habe folgendes gefunden und übersetzen lassen .Vielleicht hilft das weiter .

http://translate.google.com/translate?hl=de&sl=en&u=…

E:\WINDOWS\System32\wmupdate.exe
E:\WINDOWS\System32\wuampd.exe

Sie benötigen einen on-line-Virusscan.
wmupdate.exe

WORM_RBOT.EI

diese arbeitsspeicherresidente Endlosschraube läßt eine Kopie von sich als WMUPDATE.EXE im Windowssystemheft fallen.

Diese Endlosschraube verursacht dann die folgenden Registereintragungen, um seine automatische Durchführung sicherzustellen, wann immer Windows oben beginnt:

HKEY_LOCAL_MACHINE\Software\Microsoft \
Windows\CurrentVersion\Run
Microsoftupdateservice = „wmupdate.exe“

Sie haben auch andere funky schauende Eintragungen

Lassen Sie einen on-line-Scan bei Panda laufen:

http://www.pandasoftware.com/activescan/com/activesc…

Eine on-line-Virusüberprüfung teilt Sie nicht das
W32/Wilab-A ist ein IRC backdoor Trojan und Netzendlosschraube, die zum Windowsheft als DXTERM5.EXE sich kopieren kann und die folgende Registereintragung einstellte, um sicherzugehen, daß sie automatisch nach Wiederanlauf durchgeführt wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
VideocTreiber DirectX = C:\dxterm5.exe
W32/Wilab-A kann in geteilte Netzhefte sich kopieren
Löschen Sie die Akte, dxterm5.exe und die Registereintragung.

Gruß Nino

#7

Es wird immer schlimmer
In meinem Taskmanager ist mehrmals die Datei: SVCH0ST.EXE vorhanden. Eine davon ist nach einigen Minuten mit 90-98% fast voll ausgelastet und ich kann keine Anwendung mehr starten oder irgendeine Seite öffnen. Was ist die oben gennannte Datei?
Brauche dringend hilfe!!!

#8

Hi

Wenn du noch kannst ,dann lese hier .

http://www.xdial.de/news/Meldung.asp?Id=6518

Gruß Nino

PS.: Unter dem Suchbegriff " SVCH0ST.EXE " gibt es div. Hinweise .

#9

neuinstallation kommt mir massiv übertrieben vor. ein virencheck von sauberem system aus (mit diskettensatz oder cd-rom starten), sollte genügen.
den verzicht auf die verwendung des internet explorers unterstütze ich auch.
m.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#10

Hab mich für eine Neuinstallation entschieden. Hab sowieso schon viel zu viel Müll drauf. Hab aber vorher noch eine Frage:
Wenn ich in Zukunft auf den IE verzichten soll (werde mich wohl für Firefox entscheiden) muß ich den dann deinstallieren? wenn ja, wie?

#11

ein internet-fähiges windows ohne M$IE ist verdammt schwierig. installieren würd ich ihn schon; benützen würd ich ihn nicht. (das wär dann so wie bei mir z’haus)
lg
m

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#12

Hallo Michael,

neuinstallation kommt mir massiv übertrieben vor. ein
virencheck von sauberem system aus (mit diskettensatz oder
cd-rom starten), sollte genügen.

ich habe vor ein paar Tagen einen multiple mit Spyware und Werbetrojanern verseuchten Rechner (XP-SP1, Updatestand 08/04) in der Hand gehabt. Da dieser Rechner nicht meinem Rayon unterstand, habe ich zunächst versucht, diesen Müll soweit möglich zu entfernen und den Rechner in einen Zustand zu bringen, der zunächst ein sinnvolles Weiterarbeiten und eine Datensicherung erlaubte, um ihn zu einem späteren Zeitpunkt neu zu installieren.

Soweit Virenscanner und Anti-Adwaretools überhaupt in der Lage waren, diese Spyware zu erkennen, waren sie nicht in der Lage, sie auch sauber zu entfernen (was sich mit einem Blick in die Registry leicht überprüfen lässt). Teilweise sind offenkundige Schädlinge gar nicht erst erkannt worden.

Ganz abgesehen davon aber verbietet es sich aus anderen Gründen, deine Einstellung ernsthaft zu diskutieren: In dem Moment, in dem der Rechner verseucht wurde, bestand zumindest die Gefahr, dass er im unmittelbaren Anschluss von dritten übernommen und anderweitig manipuliert worden ist. Derartige Manipulationen sind mit Entfernungstools weder nachvollziehbar, noch können sie rückgängig gemacht werden. Selbst wenn du Schadprogramme also nachvollziehbar restlos entfernen konntest, kannst du mit vernünftigem Aufwand nicht überprüfen, ob auf dem Rechner nicht Backdoors geöffnet wurden, die ihn zum Zombie in fremden Händen machen.

Du kannst eine Neuinstallation somit zwar (z. B. zwecks Datensicherung) zunächst zurückstellen, dauerhaft aber führt an ihr kein Weg vorbei.

den verzicht auf die verwendung des internet explorers
unterstütze ich auch.

Zur Entfernung des IE: Unter XP wie unter Win2000 kann man unter Systemsteuerung-> Software-> Windowskomponenten den IE und OE entfernen. Tatsächlich werden diese Komponenten nicht aus dem System eliminiert, die Wahrscheinlichkeit aber, dass diese von maliziöser Software oder kriminellen dritten zur Systeminfektion genutzt werden können, sinkt gegenüber der Standardinstallation rapide ab.

Gruss
Schorsch

#13

hi,

Ganz abgesehen davon aber verbietet es sich aus anderen
Gründen, deine Einstellung ernsthaft zu diskutieren:

naja: gegen diskussionsverbote hab ich eigentlich prinzipiell was. aber du hältst dich ja eh nicht dran :wink:

In dem
Moment, in dem der Rechner verseucht wurde, bestand zumindest
die Gefahr, dass er im unmittelbaren Anschluss von dritten
übernommen und anderweitig manipuliert worden ist. Derartige
Manipulationen sind mit Entfernungstools weder
nachvollziehbar, noch können sie rückgängig gemacht werden.
Selbst wenn du Schadprogramme also nachvollziehbar restlos
entfernen konntest, kannst du mit vernünftigem Aufwand nicht
überprüfen, ob auf dem Rechner nicht Backdoors geöffnet
wurden, die ihn zum Zombie in fremden Händen machen.

also ich halte auch backdoors für aufspürbar.

aber jetzt schau dir mal die situation an: da hat jemand eine unbekannte datei auf seinem pc und du empfiehlst eine sofortige neuinstallation. wie soll das praktikabel sein???

Du kannst eine Neuinstallation somit zwar (z. B. zwecks
Datensicherung) zunächst zurückstellen, dauerhaft aber führt
an ihr kein Weg vorbei.

naja; alte geschichte: man soll windows immer wieder einmal neu aufsetzen. seh ich auch so. aber auch hier hat man den weg zwischen praktikabilität und sicherheit zu gehen. dauernd neu installieren - dann kann man mit dem ding ja nicht arbeiten.

gruss
m.

#14

hi,

Hallo,

also ich halte auch backdoors für aufspürbar.

Vielleicht die backdoor. Aber wie willst Du zuverlaessig feststellen, welche software ueber diese inzwischen installiert wurde?

aber jetzt schau dir mal die situation an: da hat jemand eine
unbekannte datei

Schon das ist ein Problem: warum befinden sich auf dem Rechner Dinge, von denen man nicht weiss, woher sie kommen? Nein, sowas sollte nicht normal sein.

auf seinem pc und du empfiehlst eine sofortige neuinstallation.

Nicht nur er: http://www.microsoft.com/technet/community/columns/s…

wie soll das praktikabel sein???

Ich weiss nicht. Am besten, keine unbekannte software aus nicht vertrauenswuerdigen Quellen auf den Rechner lassen.

dauernd neu installieren - dann kann man mit dem ding ja
nicht arbeiten.

Ich stimme Dir zu.

Gruss vom Frank.

#15

also ich halte auch backdoors für aufspürbar.

Aktive ja. Aber auch da stellt sich die Frage nach Aufwand und Ertrag. Und bei einem System, das bekannt infiziert war, ist der Aufwand der Neuinstallation immer geringer [*1] als der andernfalls zu betreibende forensische Aufwand. Mal ganz abgesehen vom erforderlichen Know how.

aber jetzt schau dir mal die situation an: da hat jemand eine
unbekannte datei auf seinem pc und du empfiehlst eine
sofortige neuinstallation. wie soll das praktikabel sein???

Ach Gott, nee. Das würde in der Tat zu Installations-CD raus, Installations-CD rein führen. Nene, den Eindruck, dass eine unbekannte Datei per se auf einen Schädling hinweise (Teddybären-Hoax), wollte ich durchaus nicht erwecken. Aber hier handelt es sich um eine tatsächliche Infektion; wobei die Schlussfolgerungen, die ich aus Diablos Postings gezogen habe, sich natürlich einer Diskussion stellen müssen.

naja; alte geschichte: man soll windows immer wieder einmal
neu aufsetzen. seh ich auch so. aber auch hier hat man den weg
zwischen praktikabilität und sicherheit zu gehen. dauernd neu
installieren - dann kann man mit dem ding ja nicht arbeiten.

Nicht dauernd. Aber nach jeder gesichert erkannten Infektion. Und es gehört natürlich dazu, dass man zumindest ansatzweise zu ermitteln sucht, wie die Infektion zustande gekommen ist, um eine unmittelbar anschliessende Neuinfektion zu vermeiden.

Gruss
Schorsch

[1] Anders mag das auf einem Server-System aussehen, bei dem eine Neuinstallation nach Infektion ohne vorherige Ursachen- und Schadensermittlung einen unglaublichen Leichtsinn darstellen kann

#16

Hallo,

Internet Explorer deinstallieren lässt sich wohl schlecht… Aber ein relativ einfaches Mittel, dem IE den Zugang zu versperren, ist, einen nicht exitierenden Proxy (zB die IP 1.1.1.1) einzutragen. Dann geht der IE jedenfalls nicht mehr ohne Dein Zutun ins Internet.
Falls Du oder eine Anwendung ihn dann doch brauchen sollte, dann nimmst Du einfach den Proxy wieder raus.

Grüsse
schuelsche

#17

Hallo Leute

entschuldigt das ich mich mal mit reinhänge. Auch ich sehe in einem infizierten Serversystem ein erhebliches Sicherheitsrisiko.
Ich empfehle (auch wenn es Arbeit machen sollte):

  1. den Server sofort aus dem aktiven Betrieb nehmen.
  2. eventuell noch nicht gesicherte Daten mittels WindowsPE, besser BertPE auf mobiler Festplatte oder CD bzw DVD zu sichern.
  3. Server neu installieren.
  4. Mit http://www.ntsvcfg.de/ und http://www.dingens.org/ bekannt machen und ernst nehmen.
  5. einen seriösen Virenscanner mit sehr schnellen Guard, dessen DEF-Dateien täglich aktualisiert werden. (Auch wenn er für Serveranwendungen Geld kostet!)

Alles andere wäre wohl reif für http://www.daujones.com

der Hinterwäldler

#18

Hallo,

Hi,

Aber ein relativ einfaches Mittel, dem IE den Zugang zu
versperren, ist, einen nicht exitierenden Proxy (zB die IP
1.1.1.1) einzutragen.

Auch wenn diese IP# im Augenblick niemandem zu gehoeren scheint werden Anfragen darauf trotzdem erstmal ins Internet geschickt. Verhindern kann man dass, indem man dem IE vorgauckelt, dass auf dem lokalen Rechner ein proxy laeuft: 127.0.0.1 (im Allgemeinen). Als port, auf dem er laeuft, sollte die 0 gewaehlt werden, da dort keine Dienste laufen duerfen.

HTH,
Gruss vom Frank.

#19

Da war der Wurm drin, aber richtig!
Ich bins endlich mal wieder

Ja ja, da war voll der Wurm drin und den gibt es noch garnicht lang. Ein richtig fieses Teil ist er.

Er nennt sich: W32/Sage-A

Genaue Infos gibt es hier:

http://www.sophos.de/virusinfo/analyses/w32sagea.html

Ich sag nur: Hütet euch davor!!!

Ich hatte ihn mir via E-Mail eingefangen. Nach einer kompletten Neuinstallation und den Umstieg auf Firefox dachte ich es wäre alles wieder ok. Dann aber hab ich meine gesicherten E-Mails aufgerufen und Bingo, er war wieder da. Innerhalb von ca. 10min hatte er über 250 mal versucht Einträge in der Registry einzufügen, meinen Autostart-Ordner manipuliert, sämtliche Programme die irgendwas mit Sicherheit und so zu tun haben (Ad-Aware, SpyBot, AntiVir, Regedit, AntiTrojan, Taskmanager, TuneUp usw.) einfach abgeschossen so das sich diese nicht starten liesen und mein komplettes System zu 99% ausgelastet. Das runterfahren von Windows war ebenso unmöglich.

Jetzt läuft erstmal wieder alles. Ich danke allen die versucht haben mir bei diesem (großen) Problem zu helfen.

In diesem Sinne Ciao!