winupdater.exe, .tmp, avast

...komplette Frage anzeigen

2 Antworten

ist ne Mischung aus Backdoortrojaner und Keylogger, eine selbst reproduzierende Variante auch noch, weia

  • Rechner auf keinen Fall mehr unter Windows USB Sticks anstecken, Infektionsgefahr

  • ev. mal Kaspersky Rescue Disk auf CD auf nem anderem Rechner brennen, und durchlaufen lassen, von Avira gibts sowas auch

  • ich persönlich würde folgende Methode bevorzugen:

Darik´s Boot and Nuke runterladen

http://www.dban.org/download

natürlich auch auf einem anderem Rechner, und dann die .iso Datei auf CD brennen

bei dir einlegen, und Rechner neu starten, danach bootet dein PC eine kleine Linux Distri, wenn fertig, erstmal mit ENTER bestätigen

dann wählst du mit der Leertaste deine HDD aus

wählst den Modus, ich rate dir hier indem Fall zum DoD Vollmodus

das dauert dann ne fette Ecke, je nach Festplattengröße zwischen 5 und 24 Stunden, Rechner einfach laufen lassen, bis zum Ende

danach nimmst du eine .iso Windows DVD, je nachdem, welche Variante du hast, kann auch eine Testversion .iso Datei auf der DVD gebrannt sein

installierst erstmal das Windows wieder neu, und aktivierst danach, OHNE Internetverbindung, übers Telefonsystem und deinem Lizenzkey dein Windows neu, geht relativ easy und schnell

danach schaltest du erstmal die REMOTE funktion unter Windows aus

installierst dir am besten eine kostenpflichtige Internetsecurity wie Avira, Kaspersky, oder dann sogar Comodo(kann ich empfehlen, eigentlich alle drei, aber Comodo ist mein Favorit)

und vorher bitte nicht vergessen, alle Mainboardtreiber neu zu installieren, die kannst du dir normal auf der Herstellerseite runterladen

;)

sowas nennt man dann "Neu Aufsetzen"

;)

mfg

p.s. Grafikkartentreiber optional entweder aus dem Internet runterladen und installieren, oder, soweit vorhanden, vorher schon die "Original" Version installieren, und erst danach updaten

0
@CryingFreeman13

da ich sicher war das es eine .template Datei ist

.tmp muss keine Template Datei sein, im Normalfall handelt es sich hier um eine "Temporäre" Datei, deswegen auch .tmp

;)

hat Avast eine Meldung gemacht das ein Programm "winupdater.exe", eine schlechte bewertung hat / oft probleme macht / schäden am Computer anrichten kann, und demnach im Sandbox weitergeführt wird. Ich hab den Prozess durch Avast direkt geschlossen und bin dem Dateipfad gefolgt in der die Datei winupdater,exe drin war. "D:\Benutzer\Name\AppData\Local\Temp\winupdater.exe" Diese Datei hab ich dann gelöscht, und dann konnte ich die .tmp Datei die auf dem Desktop war auch Löschen.

wenn sich des Viech vorher schon ständig reproduzieren konnte, trotz TuneUp und CCleaner, wurde hier sowas wie ein unterirdischer Schreibschutz aktiviert, du kannst die Datei offensichtlich löschen, danach aber, hast du das Problem erst so richtig an der Backe, da sich des Ding dann in Form von .bin und .log Dateien aufsplittet, und ständig reproduziert, darauf ausgerichtet, die Daten via Internet wieder zu versenden, ich kenne solcherlei Würmer zu genügen, und habe diese auch schon zu genüge identifiziert, Weihnachten war ich einer von ca. 5 Leuten, welchen es als erstes aufgefallen ist, das ein Windows Update Fehlerhaft aufgespult wurde, habe mich beschwert, ganz offiziell, und auch beim BKA, und zwei Tage später musste Microsoft zugeben, das ihr Update-Server geentert wurde, und ca. 3,5 Millionen Rechner in Europa dadurch verseucht wurden

;)

0
@CryingFreeman13

Hm, also sollte ich jetzt Windows Neu aufsetzen also,

Windows CD rein

PC booten

Festplatte cleanen

Windows neu installieren?

0
@CryingFreeman13

nur zur Info

stellenweise werden nach der Löschung solcher Dateien unter ungesichertem OS dann zwischen 50 und 5000 Splitterdateien auf dem Rechner gefunden

unter halbwegs gesicherten Umständen kann man dann ca. 50 bis 500 davon genauer identifizieren, ein löschen stellt sich aber als extremst schwierig dar, da meist noch sehr viele Splitterdateien nicht vollständig identifiziert werden konnten

selbst die besten Antivirenprogramme haben dagegen keine Lösung parat, weswegen ich in solchen Fällen dann das "Neu Aufsetzen" empfehle

Noch Fragen?

0
@xXDShadowDXx

die herkömmliche Windows Formatierung bringt da NULL

danach reproduziert sich durch die Installation der Wurm wieder, leider

deswegen benutzen IT´ler genau solche Software, um befallene Festplatten "sauber" zu putzen, das kann man nicht mit einer Formatierung vergleichen, danach ist die Festplatte so sauber, als ob se grad ausm Werk kommen würde, selbst der SMART CACHE wird überschrieben, und der ist Herstellernorm

;)

0
@CryingFreeman13

auf gut Deutsch, dein Virtueller Speicher der HDD wurde dazu missbraucht, um virtuelle Dateien Zwischenzuspeichern, als ob du nen Rootkit onboard hättest, und wurden gezielt auf andere Rechner im Internet wieder verteilt, deswegen hat wahrscheinlich auch die Heuristik von AVAST angeschlagen, sei froh, das die des hat

;)

0
@CryingFreeman13

winupdater.exe

eine EXECUTE Datei wenn mal infiziert ist, sind meist auch die svchost Dateien zu 50 % davon betroffen, sprich, unter der Systemoberfläche fangen dann die infizierten Dateien schon beim booten zum werkeln an, ohne das du was dagegen machen kannst, ähnlich wie bei einem klassischem Rootkit oder sogar Exploit

;)

sowas ist nicht lustig

0
@CryingFreeman13

Hach, immer diese Zeitaufwendigen sachen. Dein Lösungsvorschlag werd ich dann mal nachher machen wenn ich einen Zweiten Rechner freihab. (:

Die .tmp Datei war übrigens "grad mal 7. Stunden" alt und soviel hatte ich dann auch zum glück nicht am PC gemacht, außer den PC aufzuräumen. Gab es voher noch andere Viren die Kennwörter etc. aufgezeichnet haben? Aber ich schätze das man das jetzt so nicht sagen kann.

Grüße

0
@xXDShadowDXx

der Witz is, die Datei wurde gelöscht

hihi

etz is die Datei BESTANDTEIL vom OS

lach

und nu, kannste zig Virenscanner drüberlaufen lassen, wird dir nix bringen

Daten retten, über Linux Live System, wobei da auch eine Drive-By Infektion nicht ausgeschlossen ist

;)

was willst du mir erzählen?????

leider habe ich diesbezüglich schon sowas wie ne "KILL-EM-ALL" Lizenz, lach

über md5 und hash checksummen, zu unregelmäßigen hexacodes über nette scripts, welche ich immer mit netten zusatztools identifiziere, achja, da gibt es viel, was so einige nicht wahr haben möchten, oder gar erst nicht erkennen können

mfg

1
@CryingFreeman13

So, bin grad dabei Windows wieder neuzuinstallieren, jedoch hab ich jetzt 2. Fragen

Was meinst du mit der Remote Funktion?

Wieso übers Telefon-System, bei uns hängt Telefon etc. mit Internet zusammen, also geht das Internet nicht, geht auch das Telefon nicht. Also wie soll ich das anstellen? (:

0

Weder eine (verspätete) Virensuche auf deinem kompromittierten system noch Löschen einzelner zufälliger Funde bringt dir etwas.

Das System ist komplett neu aufzusetzen, da mit Parallel- und Folge-Infektionen über dieselbe Sicherheitslücke zu rechnen ist.

Nachträgliche Datenrettung vor einem Neuaufsetzen sollte nur über eine Linux-Live-CD erfolgen. Am infizierten System sind keine Datenträger mehr anzustöpseln.

Anleitungen wie die von Sempervideo, botfrei, bka-trojaner.de und anderen Möchtegern-Helfern sind nicht zielführend, da sie weder die Ursachen beheben (nämlich veraltete Software, deren Sicherheitslücken bei der Infektion ausgenutzt wurden), noch die Malware zuverlässig entfernen helfen.

Es werden nur Symptome behandelt und der User glaubt, nach ihrem Verschwinden sei alles in Butter. botfrei & Co. unterschlagen aber, dass derartige Malware andere Malware, u.a. Rootkits, nachlädt. Diese Rootkits überleben sogar normales Formatieren, so dass nur das Neuschreiben des Master Boot Records und damit das Auflösen der bestehenden Partitionen zuverlässig hilft.

Die einzige Möglichkeit zum Säubern eines befallenen Systems besteht darin, es vollkommen neu aufzubauen. So viel ist gewiss. Wenn Ihr System vollständig kompromittiert wurde, gibt es nur noch einen Weg: Systemfestplatte formatieren und System neu aufsetzen (d. h. Windows und sämtliche Anwendungen neu installieren). Quelle: Microsoft-TechNet

Was möchtest Du wissen?