c:\windows\update.exe --> Windows Prozess oder Schädling??

Hallo zusammen,

seit gestern Abend gibt mir DSL Protect (Software zur Fritzbox, die Programmzugriffe auf's Internet überwacht) die Meldung aus, daß eine Anwendung auf's Netz zugreifen möchte. Erstmal namenlos. Nach einem Blick in die Details stellte ich fest, das es sich um die c:\windows\update.exe handelt.

Ich hab den Zugriff erstmal sicherheitshalber blockiert, darauf waren die automatischen Updates weg. Liegt ja die Vermutung nahe, daß es sich dabei um eben diese handelt. Allerdings hatte ich diese Meldung bisher noch nie, was mich etwas grübeln läßt.

Also google bemüht - und nichts brauchbares gefunden - vorerst. Nach einem Neustart liefen die Uptades porblemlos durch, die Meldung von DSL-Protect kam nicht.

Gerade eben kam die Meldung wieder, also mal probehalber Internet getrennt, Zugriff temporär zugelassen. Dann kam noch eine Meldung Namensauflösung für xggc.no-ip.org. - klingt irgendwie seltsam!!??

NOD32 ist gerade durchgelaufen - kein Fund. Spybot auch nichts. System ist eine Woche alt, Konfig siehe Unten.

Ist die c:\windows\update.exe denn nun ein ganz normaler Windows Prozess und darf sie auch an dieser Stelle stehen????? Oder hab ich mir was eingefangen??

MfG

Nick[br][br]Erstellt am: 21.08.08 um 11:30:21

---

[br]Nachtrag:

Hab die Datei gerade bei VirusTotal scannen lassen - und hab jetzt irgendwie->ne 50/50 Chance, daß es kein Virus ist. Vielleicht kann jemand von Euch was damit anfangen:

Hab das Ergebnis mal als PDF gespeichert und bei Rapidshare hochgeladen, für'n Bild ist die Liste etwas lang:

http://rapidshare.de/files/40286634/VirusTotal_-_Ergebnis.pdf.html

Nick

Der Zugriff ist erstmal blockiert, was ja bekanntlich nicht unbedingt was heißen muss.

Ach so - Danke übrigens für die Mühen.

http://www.wintotal.de/Spyware/index.php
Gib die update.exe mal ins Suchfeld ein..........
Bei mir ist in XP keine in C:\windows..........

hi,

http://www.symantec.com/security_response/writeup.jsp?docid=2002-122011-1437-99&tabid=2

lesen und an die arbeit machen . alle passwörter von einem garantiert sauberen pc ersetzen. alle konten, die benutzt werden, sperren lassen ( onlinebanking, ebay, paypal usw..,) dann nach rücksprache mit diesen betreibern wieder eröffnen mit neuen daten.
rechner formatieren, KEIN IMAGE, KEINE DATEN ZURÜCKSPIELEN. alles neu und frisch machen.

vorher bitte noch das machne, wenn dort ein fund gemacht wird bringt selbst das formatieren nix:

Kontrolle, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

• Downloade die MBR.exe von Gmer(mbr.exe) und
• speichere es auf Deinem Desktop.
• Mache einen Doppelklick auf das Programm, um es zu starten.
• Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
• Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
• Poste mir den Inhalt dieser Logdatei hier in den Thread.

sorry für die evtl rüde schreibweise, aber selbst ich als malware-bereiniger bekomm angst bei nem shark


gruß

schrauber[br][br]Erstellt am: 22.08.08 um 14:33:58

---

[br]edit

da du nicht genau feststellen kannst, seit wann du den shark hast, sind auch alle selbstgemachten cd´s zu entsorgen, sticks o.ä. alle formatieren.

Hier das Logfile:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Zum Vergrößern anklicken....

Ich hab gerade noch was entdeckt, im Windows-Verzeichnis steht auch noch eine svchost.exe, und von der weiß ich zumindest unter Garantie, daß die da nicht hin gehört. Also platt machen das ganze - und zwar richtig.

Wie hoch schätzt Ihr die Gefahr ein, daß auch die anderen Partitionen infiziert sind??

Onlinebanking usw. ist übr. kein Problem, mach ich auf diesem Rechner nicht - und ebay hab ich seit der Neuinstallation vor zwei Wochen nicht wieder besucht. Muß ich halt nur meine email-Konten etc. ändern. Ich frage mich nur, wo ich das Ding her haben könnte?? Illegal ist hier nichts drauf. Und lustige Seiten besuch ich auch nicht.

Mich wundert außerdem, daß NOD nichts gefunden oder gemeldet hat. Kann das an der Testversion liegen. Die Signaturen sind auf jeden Fall aktuell.

MfG

Nick

Nachtrag:

Die beiden Images, die ich gemacht habe, enthalten diese Dateien übr. nicht, also werd ich mir das wohl erst kürzlich eingefangen haben. Ich werd wohl trotzdem die ganze Platte bügeln.

kein Scanner findet mehr als 20%. Ich wuerd alle partitionen plaetten.

Und was sagt das MBR.LOG?? IHMO sieht das sauber aus, oder?

Und nur so nebenbei, für alle, die meinen, daß eine Personal Firewall nichts bringt!!!! Ohne Fritz Protect hätte ich das Ding nicht entdeckt (man muß es natürlich auch deuten können)

Ich hab's übrigens gelöscht gekriegt, was ja nichts zu sagen hat, aber ich wollte mal probieren, wie weit ich komme.

Hast Du nur eine Softwarefirewall - oder auch einen Router?

Beides!! Eine richtige Firewall ist Firtz Protect eigentlich nicht, aber es kontrolliert ausgehende Programme - und blockt bzw. erlaubt entsprechend die Zugriffe auf's Netz. Früher hab ich dafür ZA benutzt, trotz Router, aber Fritz Protect ist da für meine Zwecke besser geeignet.

So nebenbei, ich hab übrigens in der Spyware-Liste nichts über meinen schädlichen Freund gefunden, sollte ich wohl mal melden, oder??

Nick

Klar - sag PCDpan_fee Bescheid.........
Ich hatte übrigens gefragt, weil ich Router und WindowsFW hab - aber öfter Alpträume von Malwarebefall......
So was wie: hunderte Fenster gehen auf - oder ich bekomm ein Programm untergejubelt, was ich nicht stoppen kann - echt wahr! Ich wache dann schweissgebadet auf.......scheusslich!

sorry, vergessen

mbr ist sauber.

http://www.heise.de/security/
Die Meldungen dort lassen mich auch nicht besser schlafen.........
Vielleicht findet sich dort eine Erklärung für die vorliegende Infektion?

Na ja, nach dieser ganzen Geschichte wird mir das in Zukunft vielleicht auch so gehen. Werd mal ein bißchen weiter bei Heise stöbern, vielleicht find ich ja noch was. Der Trojaner ist laut Symantec schon von 2002, sehr seltsam, daß man darüber nicht mehr Informationen im Netz findet, aber egal.

Der Scanner von Panda sieht übrigens interessant aus, läuft gerade durch und ist auch fleißig am Finden. Mal sehen, ob ich nicht gleich die Vollversion kaufen soll. Aber Heise hat da ja nette Tipps bereit.

Ach ja - und danke lieber Schrauber.

Jo - wenn es mich mal erwischt - hoff ich, dass schrauber da ist

ich kann mit diesen smilies einfach nicht unterscheiden was Ironie ist und was nicht .

aber ich werd da sein

So, hab das ganze jetzt mal im Spyware-Archiv gemeldet, ich hoffe das reicht so. Vielleicht noch ein paar Informationen zum Entfernen, auch wenn - siehe Schrauber - das ganze System auf jeden Fall platt gemacht werden sollte.

Zuerst einmal, wie im Symantec-Link beschrieben, den Schlüssel Update c:\windows\update.exe in der Registry unter HKLM\Software\Microsoft\Windows\Current Version\Run löschen.

Dann das Gleiche nochmal unter HKCU\...\Run machen. NACH einem Neustart läßt sich die ansonsten blockierte Datei c:\windows\update.exe löschen.

Das soweit, aber wie oben schon geschrieben, formatieren ist, einen sauberen MBR vorausgesetzt, natürlich besser.

Noch eine Frage, was mach ich eigentlich, wenn der MBR nicht sauber ist?? Neue Platte kaufen???

win xp wiederherstellungskonsole via cd -> Befehl fixmbr /harddisk0

diese malware ist loeschbar, aber man wird nie herausfinden welche hintertueren in das System eingebaut wurden.

Und nochmal danke, werd dann wohl bald formatieren. Es ärgert mich nur ein bißchen, daß ich die Quelle des ganzen Übels nicht herausfinden kann, aber gut.

Gute Nacht und schönes WE.

Nick

Steinhund schrieb:

Es ärgert mich nur ein bißchen, daß ich die Quelle des ganzen Übels nicht herausfinden kann, aber gut.

Zum Vergrößern anklicken....

solche dinger fängt man sich auch beim chatten über irc ein. hier einige irc-backdoor beispiele

http://www.sophos.de/security/analyses/viruses-and-spyware/w32rbotauc.html
http://www.sophos.de/security/analyses/viruses-and-spyware/trojbifrosedg.html
http://www.sophos.de/security/analyses/viruses-and-spyware/w32rbotvc.html

greetz

hugo

Danke Hugo, aber ich hab's aufgegeben. Rechner ist neu, hab wieder Avast drauf statt NOD32 und werd mal beobachten, was passiert. IRC hab ich eigentlich nie benutzt, aber seit kurzem Trillian statt ICQ und MSN einzeln, wer weiß.

MfG

Nick

@schrauber: war durchaus ernst gemeint! Bin ja nicht blind!

Jo - wenn es mich mal erwischt - hoff ich, dass schrauber da ist Cheesy

Zum Vergrößern anklicken....