wuamgrd.exe ein Wurm?

Dieses Thema im Forum "Sicherheit" wurde erstellt von CC, 18. April 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. CC

    CC Byte

    Registriert seit:
    18. November 2000
    Beiträge:
    61
    Habe seit kurzem das Problem, dass ein Prozess mit dem Namen "wuamgrd.exe" beim Windowsstart (WIN XP PRO) startet.

    Handelt es sich bei dem Prozess um einen Wurm?

    Habe auf der Homepage von sophos.de gelesen, dass es sich um einen W32/RBot-A Wurm handeln soll.
    Dort steht folgendes zur Beseitigung des Wurms:


    "Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunMicrosoft Update = wuamgrd.exe

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceMicrosoft Update = wuamgrd.exe

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesMicrosoft Update = wuamgrd.exe

    Löschen Sie die Einträge, sofern sie existieren.

    Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer die Einträge:

    HKU\[Codeziffer]\Software\Microsoft\WindowsCurrentVersion\Run\Microsoft Update = wuamgrd.exe

    HKU\[Codeziffer]\Software\Microsoft\WindowsCurrentVersion\RunRunOnce\Microsoft Update = wuamgrd.exe

    Löschen Sie die Einträge, sofern sie existieren."



    Habe meine Registry durchsucht aber keinen Eintrag mit "Microsoft Update = wuamgrd.exe" gefunden.

    Habe den Eintrag wuamgrd.exe jedoch hinter dem Eintrag Microsoft DirectX gefunden.

    Ein Virenscan mit Antivir sowie mit Antispy Adaware und Spybot verlief negativ.

    Kann mir jemand helfen, wie ich das Problem beheben kann.


    PS: Erkannt habe ich das Problem, als sich die Anwendung über Zonealarm ins Internet einwählen wollte.
     
  2. ALF46

    ALF46 Byte

    Registriert seit:
    26. April 2001
    Beiträge:
    28
    an alle
    sehr interessante Sachen gibts ja da.
    ich hab eben mein System nochmal geprüft -
    eine msconfig.dat existiert bei mir nicht.
    ich werde aber den Rat einer Hardware-firewall mit Linux befolgen und demnächst einrichten.

    ff px ALF
     
  3. Gast

    Gast Guest

    Gern gescheh'n. :wink:
     
  4. Gast

    Gast Guest

    Also:
    Firehole kommt bei mir nicht zum Zug.
    TooLeaky tunnelt bei mir verschiedene Router, auch reine Proxy-Router.
     
  5. Gast

    Gast Guest

    Getunnelt wird immer von innen nach außen. Allerdings gibt es Malware, die nicht selbst von innen aktiv wird, sondern sich von außen durch spezielle Folgen an sich harmloser PINGs "anstoßen" lässt. Aber auch da muss natürlich die Malware auf dem System laufen und den TCP-Stack kontrollieren. Doch das ist ja keine Hürde, da die Malwareschnüffler ja immer hinterherhinken.
    Das hängt davon ab, wer die Kiste wie bedient. Für mich würde es sich definitiv nicht lohnen, für einen Normaluser schon eher, je nach Kenntnisstand.
    Unter Umständen gar nichts, wenn du einen alten 486er mit Linux bestückst. Ich kenne keine Preise handelsüblicher Geräte, da mich das nicht tangiert.
    Selbstverständlich ja.
     
  6. Gast

    Gast Guest

    und was is es nun?
    und wenns ein wurm is, wie heisst er denn?

    nutzt er noch mehrere dateinamen?
     
  7. CC

    CC Byte

    Registriert seit:
    18. November 2000
    Beiträge:
    61
    Also die Datei msconfig.dat kann ich auf meinem System nicht finden.

    Habe ein Backup der Registry gemacht und danach alle Einträge mit

    [Microsoft DirectX] wuamgrd.exe

    einfach entfernt.

    Das System läuft bisher ohne Probleme und im Taskmanager wird der Prozess "wuamgrd.exe" nicht mehr gestartet.
     
  8. fdisk205

    fdisk205 Byte

    Registriert seit:
    9. April 2004
    Beiträge:
    25
  9. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    @ALF46

    Schaue mal ob du noch eine "MSCONFIG.DAT" auf deinem System findest. Die "wuamgrd.exe" hast du ja entfernt..!
     
  10. ALF46

    ALF46 Byte

    Registriert seit:
    26. April 2001
    Beiträge:
    28
    @Steele
    na ja - wenn ich nix mehr aufm system finde dann-
    never change a running system

    ansonsten ff px (fiel fergnügen - pleib xund)

    ALF
     
  11. Gast

    Gast Guest

    Dass sich diese beiden Dinge widersprechen, merkst du nicht?
    Übrigens machen auch AV-Hersteller Fehler und selbst ihre speziellen Removaltools gegen besonders hartnäckige Malware ist erwiesenermaßen unzuverlässig. Aber ein Normaluser wird das schon hinbekommen...

    ALF46:
    Was willst du abwarten? Ob sich das Problem in Luft auflöst?
     
  12. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Aus diesem Grund habe ich hier versucht eine Anleitung oder besser Unterstützung zu geben den Virus manuell zu entfernen, basierend auf den Dokumentationen der AV-Software-Hersteller. Offensichtlich haben die AV-Hersteller in ihren Produkten noch keine Entfernungsroutinen für diesen Wurm. Im Moment (CC meldet sich nicht mehr) sehe ich keinen Grund warum sich dieser Wurm nicht entfernen lassen sollte.
     
  13. ALF46

    ALF46 Byte

    Registriert seit:
    26. April 2001
    Beiträge:
    28
    an alle Forumsteilnehmer -

    sogar mir als alten Benutzer und Norton-benutzer ist das gleiche wie CC passiert - nach einem Neu-Aufsetzen von XP Prof -
    und installieren von NORTON Antivirus und Norton personal Firewall liess sich der wuamgrd zwar feststellen aber nicht ohne weiteres entfernen, da die Isolierung irgendwie ins Leere lief. Nach 3- oder 5maligem ENTVIREN dann ist jetzt nichts mehr davon zu merken und zu spüren.
    Die Frage bleibt natürlich nochmal neu aufsetzen?? Ich glaub ich warte lieber mal ab.
    MfG an alle von ALF
     
  14. Gast

    Gast Guest

    Woraus schließt du das? Aus der Bemerkung des TO, dass er in der Registry nichts gefunden hat? Hmm, bin mir da nicht so sicher. Es scheint mir eher so zu sein, dass der TO nicht so recht weiß, wie und wo er suchen soll.

    Mir kam es auch mehr darauf an, darauf hinzuweisen, dass das Ding ein ganz gutes Gefahrenpotential darstellt. Ich persönlich wäre jedenfalls mit einem System unzufrieden, bei dem ich nicht wüßte, was da so alles drauf ist und vielleicht mit mir Schabernack treibt.
     
  15. Gast

    Gast Guest

    Wie es anhand der wenigen vorliegenden Infos (die meilenweit von nachprüfbaren harten Fakten entfernt sind) für dich bei dieser gewagten Ferndiagnose aussieht, ist nebensächlich.
    Ein verantwortungsvoller Rat kann nicht darin bestehen, halbe Sachen zu empfehlen und den günstigsten Fall anzunehmen.
    Nein. Das kann man nur, wenn man den Code analysiert und testet.
     
  16. Gast

    Gast Guest

    Irgendwo im Systemordner - und warum nicht im "Prefetch (obwohl es da natürlich nicht hingehört).

    Also solltest du erstmal die Datei dort löschen, neu starten und im Task-Manager nachgucken, ob der Wurm wieder auftaucht.

    Aber selbst wenn du Glück hast und das Ding weg ist, hast du nur 'ne halbe Lösung. Der dazugehörige Wurm hat mal wieder einen Trojaner im Gepäck und hier kann keiner mit Sicherheit sagen, ob der Trojaner ausgeführt wurde oder nicht. Also solltest du auf alle Fälle alle Passwörter ändern. Außerdem wäre es nicht schlecht, darüber nachzudenken, das System neu aufzusetzen, wie bereits von mschuetzda und Steele empfohlen.
     
  17. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Und wo bitte steckt das kleine "Biest" ??
     
  18. mschuetzda

    mschuetzda Megabyte

    Registriert seit:
    5. September 2001
    Beiträge:
    1.131
    Hallo,
    die Dateien im Ordner PREFETCH werden von XP zur Optimierung des Startverhaltens der Programme genutzt. Der gesamte Ordnerinhalt kann bedenkenlos gelöscht werden.
    Damit dürfte das problem aber nicht gelöst sein.
    das "Biest" steckt woanders und deshalb ist es besser den Rat von steele zu befolgen und neu aufzusetzen.
     
  19. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Jetzt versuche mal ob du an den Ordner PREFETCH kommst und die Datei umbenennen kannst. Habe hier kein WinXP und somit keine Ahnung ob dich dein XP an den "PREFETCH" dran lässt.
    Wenn sich die Datei umbenennen lässt kann der Virus beim booten nicht mehr aktiviert werden.
     
  20. CC

    CC Byte

    Registriert seit:
    18. November 2000
    Beiträge:
    61
    Beenden kann ich den Prozess wuamgrd.exe über den Task-Manager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen