[Windows Update Auto Update] wuaumgr.exe

von **Stefan-Herrmann** am 12.02.2005, 15:12

ich hab das gleiche problem
aber bei mir hängt sich der tastmrg nach ca.10 min auf wenn ich online bin

Hier mein Logfile

Logfile of HijackThis v1.99.0
Scan saved at 14:04:06, on 12.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
E:\Programme\Winamp\winampa.exe
C:\Programme\FreePDF_XP\fpassist.exe
E:\PROGRA~1\WIRELE~1\Keyboard\Ikeymain.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
I:\Programme\Jana2\JanaAdmin.exe
F:\Programme\Opera7\opera.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
I:\Programme\Jana2\janad.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
d:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WinampAgent] e:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "e:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [XM2002] e:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [iKeyWorks] e:\PROGRA~1\WIRELE~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [Windows Update Auto Update] wuaumgr.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [ZipGenius Clean] "C:\WINDOWS\zg.exe" -cleantemp
O4 - HKLM\..\RunServices: [Windows Update Auto Update] wuaumgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Update Auto Update] wuaumgr.exe
O4 - Startup: JanaAdmin.lnk = I:\Programme\Jana2\JanaAdmin.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - E:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - E:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Jana Server 2 - Thomas Hauck, Privat - I:\Programme\Jana2\janad.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RVS CommCenter - Unknown - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: SCA - Unknown - C:\WINDOWS\System32\SYSTEM.EXE (file missing)

Edit durch miezmutz: einaktuelleres logfile gibt es hier -->
http://www.informationsarchiv.net/foren ... -2959.html

von **Nikita** am 16.02.2005, 13:53

Hallo@Stefan-Herrmann

BDS/Subseven.215.B
W32/Sdbot.worm.bat.b

C:\WINDOWS\system32\wuaumgr.exe infected by Backdoor.Win32.SdBot.lt

Dienste anzeigen:
License: Freeware/Getservices
Note: You must run this program as a user with Administrator privaleges.
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Windows Update Auto Update] wuaumgr.exe
O4 - HKLM\..\RunServices: [Windows Update Auto Update] wuaumgr.exe
O4 - HKCU\..\Run: [Windows Update Auto Update] wuaumgr.exe
O23 - Service: SCA - Unknown - C:\WINDOWS\System32\SYSTEM.EXE (file missing)

PC neustarten

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:

SCA

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

kopiere rein:

Windows Update Auto Update

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

_____________________________________________________

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]
"Windows Auto Update Agent Manager"="wauamgr.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Lsa]
"Windows Auto Update Agent Manager"="wauamgr.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows Auto Update Agent Manager"="wauamgr.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\OLE]
"Windows Auto Update Agent Manager"="wauamgr.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Auto Update Agent Manager"="wauamgr.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Auto Update Agent Manager"="wauamgr.exe"

[HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows Auto Update Agent Manager"="wauamgr.exe"

[HKEY_USERS\S-1-5-21-1417001333-1708537768-682003330-1004\Software\Microsoft\OLE]
"Windows Auto Update Agent Manager"="wauamgr.exe"

[HKEY_USERS\S-1-5-21-1417001333-1708537768-682003330-1004\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows Auto Update Agent Manager"="wauamgr.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\OLE]
"Windows Auto Update Agent Manager"="wauamgr.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Auto Update Agent Manager"="wauamgr.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Auto Update Agent Manager"="wauamgr.exe"

[HKEY_USERS\S-1-5-18\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows Auto Update Agent Manager"="wauamgr.exe"

nun ist der Backdoor aus der Registry geleoscht, aber nun musst du auch noch die wauamgr.exe loeschen:

KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot

kopiere in die Killbox:

c.bat
C:\WINDOWS\System32\wauamgr.exe
C:\WINDOWS\System32\askjhfs3.exe
C:\WINDOWS\System32\SYSTEM.EXE

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

-->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process".

PC neustarten

Hinweise zur Desinfektion von W32/Agobot
http://www.sophos.de/support/disinfection/agobot.html
Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen)
http://bilder.informationsarchiv.net/Nikitas_Tools/

<Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS
http://www.kaspersky.com/de/removaltool ... 10248#open

#<Online-Scann (Panda)
http://www.pandasoftware.com/activescan ... ncipal.htm

#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php

dann poste das neue Log vom HijackThis

von **Stefan-Herrmann** am 25.03.2005, 20:04

hi
sorry wegen der langen antwort
also
ich hab die regedit durschsucht und geändert nach einem neustart hatte ich keine probs mehr
aber hab mir 2tage später nen neuen pc gekauft und den anderen platt gemacht

[Windows Update Auto Update] wuaumgr.exe

[Windows Update Auto Update] wuaumgr.exe

BDS/Subseven.215.B [Windows Update Auto Update]

Ähnliche Themen

Wer ist online?