winupck.exe

[ulu01]

Hallo zusammen,

habe seit gestern ein Prog auf meinem NB Namens "winupck.exe"......

Google findet nichts zu dieser Datei!

Kennt Sie jemand von euch

Danke Uli

 

[SUID:root]

Nein, nicht bekannt.
Ist kein bekannter Systemprozess.

Gruss

root

 

[ulu01]

Das habe ich mir schon gedacht, obwohl die Datei im Verzeichnis /system32 sitzt.

Aber erstmal vielen Dank

Uli

 

[Mackz]

Original von ulu01
Das habe ich mir schon gedacht, obwohl die Datei im Verzeichnis /system32 sitzt.

Gerade das sollte dich beunruhigen. Malware schreibt sich oft nach windows\system32 oder manchmal auch anderen Windowsverzeichnissen, um vorzugaukeln es sei eine wichtige Systemdatei. Auch ist dadurch die manuelle Suche nach den weiteren Dateien und deren Entfernung erschwert. (Die winupck.exe wird nicht die einzige Datei dieser Malware sein (falls es denn eine ist).)


Manuelle Entfernung von Malware

- Mache Rechtsklick auf die Datei und schau dir die Eigenschaften an, ob du dort vertrauenswürdige Infos findest. (Hersteller, Produktname etc.)
- Schau dir das Erstellungsdatum der Datei an
- Überlerlege was du an dem Datum der Erstellung gemacht hast, gehört die Datei evtl. zu einem an dem Tag installierten Programm etc ...
- Starte Windows neu im Abgesicherten Modus
- Führe eine Suche in der Registry nach dem Dateinamen durch: Findest du Einträge? Geben diese Einträge Aufschluss über diesen Prozess? Wurde der Datei eine CLSID zugewiesen? Führe eine Suche nach der CLSID in der Registry durch. Findest du weitere Einträge? Evtl. mit Verweisen auf andere (unbekannte) Dateien? Untersuche diese Dateien. Befinden sich Einträge in den bekannten "Autostart Schlüsseln" [1]?
- Führe eine Dateisuche nach Dateien mit dem gewissen Erstellungsdatum durch / Ordne die Dateien in Windows\System32 nach dem Erstellungsdatum
- Sei besonders skeptisch bei gefundenen Datein in Windows\System32 und anderen Windowsverzeichnissen
- Untersuche besonders jede gefundene *.sys *.dll *.exe. Schau dir deren Eigenschaften an, google nach den Dateinamen, führe eine Suche in der Registry danach durch.
- Läuft ein unbekannter Prozess? Downloade dir den Process Explorer. Untersuche auf welche Dateien der Prozess zugreift.
=> Lösche alle Dateien und Registryschlüssel die dir "spanisch" vorkommen. (Vor dem Löschen von Registryschlüsseln kannst du, wenn du magst, diese exportieren um die Löschung evtl. später wieder rückgängig machen zu können. Du kannst dir ein Backup-Verzeichnis erstellen und dort vorsichtshalber Kopien der zu löschenden Dateien aufbewaren.)
- Untersuche alle bekannten Dateien, mit deren Hilfe Programme beim Systemstart ausgeführt werden können.[2]

- Starte Windows neu
- Führe eine Dateisuche mit aktuellem Erstellungsdatum durch.
-> Findest du wieder neu erstellte, unbekannte, höchst suspekte Dateien? Laufen unbekannte Prozesse?
Dann wurden leider noch nicht alle Dateien entfernt.
- Führe eine Suche in der Registry durch. Wurden gelöschte Schlüssel wieder neu erstellt? Neue Einträge in den "Autostart Schlüsseln"?
Dann wurden leider noch nicht alle Dateien entfernt.


[1] Alle Autostart Registry-Schlüssel:

Windows 95-XP
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunOnce

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunOnceEx

- HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders\Startup

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders\Common Startup

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders\Common Startup

- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders\Startup

- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders\Startup

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Update\NetworkPath

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Update\UpdateMode

- HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\ @="\"%1\" %*"

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects


Windows 98 - XP

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\ShellServiceObjectDelayLoad


Windows 2000 und XP

- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

- HKEY_CURRENT_USER\Software\Policies\Microsoft\System\Scripts

- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit

- HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders\Startup

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell

[2] Autostart über Dateien:

Windows 95-98

- C:\Winboot.ini

- C:\Config.sys,
Einträge "Device=", "Install=", "Devicehigh=" und "Installhigh="

- C:\Autoexec.bat

- C:\Win.bat

- C:\Windows\Dosstart.bat

- Winstart.bat


Windows 95-ME

- C:\Msdos.sys

- C:\Windows\Wininit.ini

- C:\Windows\System.ini,
Eintrag "Shell="

- C:\Windows\Win.ini,
Einträge "run=" und "load="

- C:\Windows\Startmenü\Programme\Autostart

- C:\Windows\Profiles\<Benutzername>\Startmenü\Programme\Autostart

- C:\Windows\AllUsers\Startmenü\Programme\Autostart


Nur Windows ME

- C:\Window\Command\Cmdinit.bat


Nur Windows 2000

- C:\Winnt\Autoexec.nt und Config.nt


Nur Windows XP

- C:\Windows\Autoexec.nt und Config.nt


Windows 2000 und XP

- C:\Dokumente
und Einstellungen\<Benutzername>\Startmenü\Programme\Autostart

- C:\Dokumente
und Einstellungen\All Users\Startmenü\Programme\Autostart


Internet Explorer

Windows 95 und 98

- C:\Windows\Desktop als Webansicht

- C:\Windows\Profiles\<Benutzername>\Desktop als Webansicht

Windows98 und ME

- C:\Windows\Web\*.htt

Nur Windows 2000

- C:\Winnt\Web\*.htt

Windows 98, ME, XP

- C:\Windows\Web\*.htt

Windows 2000 und XP

- C:\Dokumente
und Einstellungen\<Benutzername>\Desktop
als Webansicht


Ich hoffe mal das hilft dem ein oder anderen weiter.

 

[ulu01]

vielen Dank für deine Tipps, habe das NB vom Netz genommen und werde mal SpyBot drüberlaufen lassen mal sehen was der findet.

 

[boernd]

diese winupck.exe ist ein trojaner. schau mal hier:
http://www.trojaner-board.de/archive/index.php/t-7651.html

 

[ulu01]

Jo, das ist ja klasse.
Vielen Dank für deine Info, dann werde ich dem jetzt mal das Licht ausschlten.

Naja anrichten kann der Trojaner zur Zeit eh nix, da das NB nicht im Netzwerk ist.

also nachdem Spybot durchgelaufen ist, habe ich nix mehr gefunden. ein Schlüssel in der Reg gefunden.

Auch mit Hijack nix mehr gefunden

Vielen Dank