Moin moin,
daß das kein Wurm ist, würde ich so nicht sagen. Wenn ich die Infos von Norman lese, wirkt es auf mich wie ein "sehr neuer" Wurm:
http://sandbox.norman.no/live_2.html?logfile=118947
Dort steht genau, was das Programm anrichtet. Und es wirkt auf mich wie ein Schadprogramm. Ich übersetze mal grob:
Connects to "mirror13.windowsupdater.net" on port 6667 (TCP).
Das Dingen versucht sich zu einer Webadresse zu verbinden, die von mir eben gecheckt wurde, sie ist nicht für Microsoft, sondern für Micr0soft registriert. Das macht schon stutzig. Versuch macht kluch... wenn man sich eines geschützten Systems sicher ist! Wenn man diese Domain aufruft, dann wird einem mehrfach versucht, ein Schadprogramm unterzujubeln,
also bitte versucht nicht, diese Domain im Browser aufzurufen!
Ich zitiere mal die bei mir eingehende Meldung:
3Q0PRMOM.EXE Ist das Trojanische Pferd TR/Small.GL.2
Außerdem soll ich gleich eine Datei namens "istinstall_netscape.exe" herunterladen, nur der Himmel oder eher die Hölle und der Urheber auf ht_p://www.slotch.com/ist/softwares/installers weiß, was das ist. Und das Dingen lade ich jetzt nicht für Euch runter,
ist zu gefährlich!
Den Rest, den das Ding anrichtet, ist auch nicht zu verachten.
Meine Empfehlung:
- Drucke Dir diesen Thread aus.
- Trenne die Verbindung zum Internet.
- Schaue im Taskmanager (Rechtsklick auf leere Stelle der Taskleiste, dann Task-Manger wählen), ob Du dort die Datei winsupdate.exe als Task findest. Wenn ja, beende sie.
- Schaue nach einer Minute nochmal in den Taskmanager, ist sie wirklich weg bzw. immer noch weg?
- Schalte im Windows Explorer unter Extras -> Ordneroptionen -> Ansicht folgende Haken ein/aus: "Systemdateien ausblenden" -> Haken ausschalten, Warnung bestätigen
"Inhalte von Systemordnern anzeigen" -> Haken einschalten
"Versteckte Dateien und Ordner", Knopf auf "Alle Dateien anzeigen" setzen.
- Suche die Datei an dem bei Norman angegebenen Platz.
- Markiere sie im Explorer und lösche sie, indem Du die Shift-(Hoch-)Taste festhälst. Bestätige, daß Du die Datei unwiderbringlich löschen willst.
- gehe auf Start -> Ausführen und gebe dort regedit ein.
- Gehe dort auf Bearbeiten -> Suchen und suche nach winsupdate.exe, lösche jeden Eintrag, indem Du im rechten Fenster mit der rechten Maustaste draufklickst und "Löschen" klickst. Setze die Suche mit Druck auf "F3" fort, bis keine Einträge mehr gefunden werden.
Wenn Du eben Einträge und die Datei gefunden hast, vermutlich an den Stellen, wo auch Norman (siehe Link ganz oben) sie gefunden hat, dann sei Dir sicher, Du hast Das Mistding gefangen. Ich habe auf meinem sauberen XP-System mal gesucht, die Datei winsupdate.exe
gibt es bei mir nicht! (Info: XP home, deutsch, SP2 mit allen Updates).
So, jetzt starte das System einmal neu und schaue nochmals nach, ob das Programm wieder im Taskmanager steht. Und ob es wieder auf der Platte steht. Jetzt kannst Du zumindest sicher sein, daß es Dich nicht mehr direkt nervt. Das Dumme ist, das Dingen macht alles mögliche und keiner weiß, ob es schon irgendwas auf Deinen Rechner geladen hat. Am besten wäre also, wenn Du jetzt mit einem aktuellen Virenprüfer einen kompletten Check machst. Und dann solltest Du schleunigst alle Deine Daten brennen/sichern und das System neu installieren. Alle Partitionen sollten neu formatiert werden!
Das ist leider die einzige saubere Methode, so ein Ding loszuwerden. Tut mir sehr leid, das kostet viel Zeit...
Hoffe das hilft Dir ein Stück weiter,
cu
Herbert
[ 02. April 2005, 08:11: Beitrag editiert von: Herbert Stammler ]