PureBoard

Tach, Leude!
Sorry, dass ich hier reinkomm ohne anzuläuten, aber es ist das passiert, wovor ich am meisten Angst hatte: Mein PC wurde infiziert!
Was tun? 21 von 20 PC-Fachleute würden sagen "Klick im Fenster von deinem Scanner einfach auf 'Heal', 'Erease' oder 'Delete'". Das Problem an der Sache ist, dass eine Systemdatei befallen ist (C:\WINDOWS\system32\wupdmgr.exe). Virentyp: Trojan horse BackDoor.Generic10.TDZ
Bitte sagt mir, was zu tun ist. Ich hab mit Viren keine große (und gute) Erfahrung, oder gibt es wupdmgr gar nicht
Wie dem auch sei... hier mal ein Screen vom Anti-Viren-Scannwr:


btw: Ich möchte mienen PC nicht neu aufsetzen! :CRY: Ich werde mich von so einem Trojaner sicher nicht ins Bockshorn jagen lassen. - Hoffentlich

MfG, Mok

Tip: Gib bei Google einfach mal "wupdmgr.exe" ein, und schon wirst Du herausfinden, um was es sich bei der Datei handelt

EDIT: Noch ein Tip: Bei einem Klick auf "Heal" sollte das Programm eigentlich die Datei "bereinigen", ohne daß irgendwas kaputt geht. Wenn's nicht anders geht, dann wird er Dir das sicherlich vorher sagen. Ich kenne Deinen Virenscanner zwar nicht, aber so sollte man's erwarten dürfen. Ansonsten mal in der Hilfe schauen, was genau bei "Heal" passiert.

schneisim (vom Trojaner-Board) hat geschrieben:Nach einem Neustart ist nun zusätzlich ist der McAffee tot

Zum Glück hab ich kein McAffee.
Jedenfalls danke - ging einfacher als ich gedacht habe. Aber nachdem ich den Virus ge'heal't habe, kam ein Fenster in dem (deutsch!) stand, dass ich die Windows-Installations-CD einlegen muss, und die Dateien wiederherstellen muss? What the F*piep*?
Oder dachte der oberschlaue Herr Windows, dass es sich tatsächlich um eine Systemdatei handelt, und mich jetzt auffordern wollte, die ganze Sache nochmal zu Installieren?

Gr33tz, Mok

Edit
Es ist AVG8.0 oder 8.1 oder so

Wenn's unter C:\WINDOWS\system32 liegt, dann kann's wirklich 'ne Systemdatei sein. Steht ja auch in einigen von den Google-Suchergebnissen. Sei also froh daß Dir der Herr Windows anbietet, die Originaldatei wieder von der Windows-CD wiederherzustellen

http://www.file.net/prozess/wupdmgr.exe.html
habe diesen artikel und ein paar andere gelesen.

also, soweit ich das verstehe, ist wupdmgr.exe eine systemdatei,
aber manche schadprogramme tarnen sich auch als wupdmgr.exe

ich hab sie auch, sie hat das nötige icon und info, wird auch nicht angemeckert:



... btw, als ich gestern nacht windows-update aufgerufen hab, hat MS gefragt, ob ich meinen update-manager updaten will.
hab dann einfach das browserfenster wieder zu gemacht, und das update heut morgen über automatik gefahren.

falls du deinen Manager upgedated hast, könnte sein, dass der Virenscanner noch nicht diesbezüglich aktualisiert ist.
das Windows Update kam gestern recht überraschend, da wurde eine neue Sicherheitslücke entdeckt, die sie sofort schließen wollten.

es ist also nicht unwahrscheinlich, dass ein neuer Part im echten Update Manager vom Virenscanner fehlinterpretiert wird.

... zumal die meisten Meldungen über wupdmgr.exe als Virus schon wesentlich älter sind,
es ist wohl ein paar Jahre ruhig um diesen Namen gewesen,
da ist es noch unwahrscheinlicher, dass plötzlich ein Virus mit dem Namen auftaucht.


... also, mein Urteil: kein Virus, Fehlalarm.

grade gestern ist ein wichtiges Update außerhalb der üblichen Patchday-
Aktionen gelaufen (mein Bürorechner wurde nachts neu gestartet). Vielleicht
hängt das damit zusammen...

@Mok: hast Du vor dem 'Befall' irgendeine suspekte Exe ausgeführt oder
warst auf nicht koscheren Seiten? Wann hast Du Dein letztes Windows-
Update gemacht?

Grüße ... Kiffi

Dass du die Windows-CD einlegen musst, ist vollkommen normal. Die EXE dürfte dem Namen nach zu Urteilen der Windows Update Manager von Microsoft sein, und der soll dann einfach nur von der Windows-CD zurückkopiert werden. Das geht AFAIK normalerweise aber nur, wenn auf deiner Windows-CD auch zumindest das gleiche Servicepack wie auf deiner Festplatte ist.

Ich habe heute von AVG (aktuelle Version 8.0.175) die gleiche Meldung bekommen. Das wichtige Windows-Update von gestern hatte ich dabei noch nicht installiert, so dass die Sache damit wohl nichts zu tun hat. Meine Datei C:\Windows\System32\wupdmgr.exe war und ist Byte für Byte identisch mit einer alten Sicherungskopie, daher schließe ich mich der Einschätzung an, dass es sich hier um einen Fehler von AVG handelt. Dies wird zusätzlich unterstützt durch das Ergebnis von Virustotal, wo nämlich AVG der einzige von 36 Virusscannern ist, der diese Datei für infiziert hält. Na ja, die Fehlalarme können ja nicht immer nur von Antivir kommen.
Was mich wirklich ärgert ist, dass AVG sehr penetrant agiert: Wenn ich auf "Ignore" klicke, wird die Sache nicht ignoriert, sondern AVG verhindert z.B. dass ich mir die Datei ankucke oder nach virustotal.com hochlade. Das ist kontraproduktiv.

Gruß, Little John

ja, die penetrante disfunktionalität der "Ignore"-Funktionen ist bei vielen Virenscannern ein Leidwesen...

bei Avast muss ich so ein Programm gleich in zwei Ausnahmelisten eintragen,
ein simples Ignore verhindert nur das Isolieren, aber bricht immer den Zugriff ab.
... wenistens kommt sowas nicht so oft vor.


btw:
@Topic "False Positives"
bei einigen Games mittleren Alters, zum Beispiel Warcraft3 und Anno1503,
löst der CD-Verifier einen False Positive aus.
dabei handelt es sich um eine DLL, die life im TEMP verzeichnis erstellt wird.

bei WC3 muss man den Virenscanner abschalten, um das Game starten zu können, und dann von inGame aus updaten zu können.
bei Anno kann man das Patch runterladen und das Game patchen.
bei beiden Games wird der CD-Check nicht mehr ausgeführt nach dem Patch und kein False Positive mehr ausgelöst.

... nur mal für den Fall, dass einer von euch demnächst ein älteres Game wieder installiert und dieses Problem bekommt...

gib mal bei google.de "tool zum entfernen bösartiger software" ein!

es ist mehr als nur eine datei! dein virus hat das automatische update auser gefeht gesetzt weil das das einzige ist was dem virus schaden kann!

http://www.microsoft.com/downloads/deta ... laylang=de

Da kann man sich das ding herunterladen!

viel glück

jens