winxp update ja wuauclt.exe :: Hinnavaatluse Foorumid

Plondiin · HV kasutaja liitunud: 13.12.2001

Win xp tahtis updatet ja selle käigus tuli fail wuauclt.exe. Mõtlesin alguses, et see on update jaoks vajalik fail aga igaks juhuks uurisin ka siit foorumist ja mujalt internetist.

http://www.sophos.com/virusinfo/analyses/trojcultb.html :
Troj/Cult-B is a backdoor Trojan which allows a remote intruder to access and control the computer via IRC channels.
Each time the Trojan is run it tries to connect to a remote IRC server and join a specific channel. The Trojan then runs in the background as a server process, listening for commands to execute.
When first run the Trojan copies itself to the Windows System folder as WUAUCLT.EXE and creates the following registry entry so that WUAUCLT.EXE is run automatically each time Windows is started:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft auto update = WUAUCLT.EXE
Windows NT/2000/XP
In Windows NT/2000/XP you will also need to edit the following registry entry. The removal of this entry is optional in Windows 95/98/Me. Please read the warning about editing the registry.
At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.
Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.
Locate the HKEY_LOCAL_MACHINE entry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft auto update = WUAUCLT.EXE
and delete it if it exists.
Close the registry editor

Ma registrist vaatasin, et C:\WINDOWS\System32\wuauclt.exe (faili nimi on väikeste tähtedega!)
Nüüd siis küsimus, et kas see on seesama pahalane või vajalik windowsi fail? Ei julge enne kustutama hakata. Ad-aware ja AVG Antivirus ei leidnud midagi.

Plondiin · HV kasutaja liitunud: 13.12.2001

Tulemüüri traffic logi näitab asju millega mul mingit pistmist pole. Ma ei ole neid aaresse kunagi külastanud.
Näiteks on sisse tulnud ja välja läinud aadressilt http://tanel.hinvestgalleries.ee, www.raiku.ee
(hinnavaatlus nagunii)
Mida sellest järeldada saab? [/url]

XYZ · HV Guru liitunud: 05.11.2001

Selle nimeline fail on win install CD-lgi olemas. Mis ei välista võimalust, et ta on troojaka poolt sul üle kirjutatud.

Trwind55 · Kreisi kasutaja liitunud: 21.04.2003

Ad-aware ja AVG Antivirus, aga kus Spybot - Search and Destroy on?
Kõige lihtsam on teda saada siit ,aga koduleht asub siin

Kui see wuauclt.exe väikeste tähtedega oli siis on ta Win auto-update fail.
Viimase väite tõestus on siin http://forums.zonelabs.com/zonelabs/board/message?board.id=AllAboutPorts&message.id=2217

Et kindlam tunne oleks, lase aga Spybot S&D oma arvuti üle, siis vaatame edasi!

TzigaLind · HV veteran liitunud: 12.01.2002

Eser · HV veteran liitunud: 22.11.2003

tee oma update käsitsi

Plondiin · HV kasutaja liitunud: 13.12.2001

To XYZ,
Toojaka poolt üle kirjutatud? Tegin ju kõige labasemat updatet, kuskohas toimub nn ülekirjutamine?

To Trwind55,
sai ka kuskilt loetud, et kui wuauclt.exe on väikeste tähtedega oli siis on ta Win auto-update fail. Aga kunagi ei saa millegis lõplkult kindel olla.
Spybot sai peale pandud ja arvutit checkitud. Sellenimelist faili ei leitud.

TzigaLind,
Ma saan aru küll, et inimesed hoiavad avatare oma isiklike servudes, kuid ma ei ole kellegi HV-s kellegi kontaktandmetel klõpsinud. Järelikult ei saa tekkida ka mingit reaalset ühendust.

To Eser
Luban, et edaspidi teen oma updated siis käsitsi

Eser · HV veteran liitunud: 22.11.2003

vaata sellest viirusest oli palju juttu
mis tuli ja ennast Wu-na ise sulle pakkus
jne.
aga mai uurinud seda juttu lähemalt
kun teen update alati ise ja siis kui heaks arvan
vastuse saad ehk microsoft.com-ist

TzigaLind · HV veteran liitunud: 12.01.2002

XYZ · HV Guru liitunud: 05.11.2001

Plondiin · HV kasutaja liitunud: 13.12.2001

Emailiga ta eile nüüd vaevalt tuli, polnud oma meile veel vaadata jõudnud ja lisaks sellele ei ava ma tundmatutelt aadressidelt tulnud emailide manuseid. Teisel kasutajal jookseb siin Kazaa Lite. Võibolla siis tuli sealtkaudu midagi?
Eile hommikul arvutit käivitades vaatasin, et paremal nurgas viskas teate et win tahab updatet, lubasin. Tulemüüri Security Logis oli wuauclt.exe fikseeritud.

Oleks vaja teha microsofti lehelt uued updated. Huvitav, kas uut update ongi võimalik teha, kui update jaoks vajalik fail wuauclt.exe on hoopis ülekirjutatud - troojaks???

Lugesin http://support.microsoft.com/default.aspx?scid=kb;en-us;312477 ja mõtlesin, et peaks proovima. et kui wuauclt.exe faili uuesti xp plaadilt peale panna ja praeguse (elik troojase?) eemaldada?

XYZ · HV Guru liitunud: 05.11.2001

Deep Fury · Kreisi kasutaja liitunud: 13.12.2001

TzigaLind · HV veteran liitunud: 12.01.2002

Deep Fury · Kreisi kasutaja liitunud: 13.12.2001

Plondiin · HV kasutaja liitunud: 13.12.2001

XYZ · HV Guru liitunud: 05.11.2001

Plondiin · HV kasutaja liitunud: 13.12.2001