wuamgrd.exe ein Wurm?

Habe seit kurzem das Problem, dass ein Prozess mit dem Namen "wuamgrd.exe" beim Windowsstart (WIN XP PRO) startet.

Handelt es sich bei dem Prozess um einen Wurm?

Habe auf der Homepage von sophos.de gelesen, dass es sich um einen W32/RBot-A Wurm handeln soll.
Dort steht folgendes zur Beseitigung des Wurms:


"Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunMicrosoft Update = wuamgrd.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceMicrosoft Update = wuamgrd.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesMicrosoft Update = wuamgrd.exe

Löschen Sie die Einträge, sofern sie existieren.

Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer die Einträge:

HKU\[Codeziffer]\Software\Microsoft\WindowsCurrentVersion\Run\Microsoft Update = wuamgrd.exe

HKU\[Codeziffer]\Software\Microsoft\WindowsCurrentVersion\RunRunOnce\Microsoft Update = wuamgrd.exe

Löschen Sie die Einträge, sofern sie existieren."



Habe meine Registry durchsucht aber keinen Eintrag mit "Microsoft Update = wuamgrd.exe" gefunden.

Habe den Eintrag wuamgrd.exe jedoch hinter dem Eintrag Microsoft DirectX gefunden.

Ein Virenscan mit Antivir sowie mit Antispy Adaware und Spybot verlief negativ.

Kann mir jemand helfen, wie ich das Problem beheben kann.


PS: Erkannt habe ich das Problem, als sich die Anwendung über Zonealarm ins Internet einwählen wollte.

 

an alle
sehr interessante Sachen gibts ja da.
ich hab eben mein System nochmal geprüft -
eine msconfig.dat existiert bei mir nicht.
ich werde aber den Rat einer Hardware-firewall mit Linux befolgen und demnächst einrichten.

ff px ALF

 

Gern gescheh'n.

 

Also:
Firehole kommt bei mir nicht zum Zug.
TooLeaky tunnelt bei mir verschiedene Router, auch reine Proxy-Router.

 

Getunnelt wird immer von innen nach außen. Allerdings gibt es Malware, die nicht selbst von innen aktiv wird, sondern sich von außen durch spezielle Folgen an sich harmloser PINGs "anstoßen" lässt. Aber auch da muss natürlich die Malware auf dem System laufen und den TCP-Stack kontrollieren. Doch das ist ja keine Hürde, da die Malwareschnüffler ja immer hinterherhinken.

Das hängt davon ab, wer die Kiste wie bedient. Für mich würde es sich definitiv nicht lohnen, für einen Normaluser schon eher, je nach Kenntnisstand.

Unter Umständen gar nichts, wenn du einen alten 486er mit Linux bestückst. Ich kenne keine Preise handelsüblicher Geräte, da mich das nicht tangiert.

Selbstverständlich ja.

 

und was is es nun?
und wenns ein wurm is, wie heisst er denn?

nutzt er noch mehrere dateinamen?

 

Also die Datei msconfig.dat kann ich auf meinem System nicht finden.

Habe ein Backup der Registry gemacht und danach alle Einträge mit

[Microsoft DirectX] wuamgrd.exe

einfach entfernt.

Das System läuft bisher ohne Probleme und im Taskmanager wird der Prozess "wuamgrd.exe" nicht mehr gestartet.

 

hi,
vieleicht geht es auch so.
http://www.chip.de/forum/thread.html?bwthreadid=624681&bwpage=2&bwsortorder=ascending

solong...

 

@ALF46

Schaue mal ob du noch eine "MSCONFIG.DAT" auf deinem System findest. Die "wuamgrd.exe" hast du ja entfernt..!

 

@Steele
na ja - wenn ich nix mehr aufm system finde dann-
never change a running system

ansonsten ff px (fiel fergnügen - pleib xund)

ALF

 

Dass sich diese beiden Dinge widersprechen, merkst du nicht?
Übrigens machen auch AV-Hersteller Fehler und selbst ihre speziellen Removaltools gegen besonders hartnäckige Malware ist erwiesenermaßen unzuverlässig. Aber ein Normaluser wird das schon hinbekommen...

ALF46:
Was willst du abwarten? Ob sich das Problem in Luft auflöst?

 

Aus diesem Grund habe ich hier versucht eine Anleitung oder besser Unterstützung zu geben den Virus manuell zu entfernen, basierend auf den Dokumentationen der AV-Software-Hersteller. Offensichtlich haben die AV-Hersteller in ihren Produkten noch keine Entfernungsroutinen für diesen Wurm. Im Moment (CC meldet sich nicht mehr) sehe ich keinen Grund warum sich dieser Wurm nicht entfernen lassen sollte.

 

an alle Forumsteilnehmer -

sogar mir als alten Benutzer und Norton-benutzer ist das gleiche wie CC passiert - nach einem Neu-Aufsetzen von XP Prof -
und installieren von NORTON Antivirus und Norton personal Firewall liess sich der wuamgrd zwar feststellen aber nicht ohne weiteres entfernen, da die Isolierung irgendwie ins Leere lief. Nach 3- oder 5maligem ENTVIREN dann ist jetzt nichts mehr davon zu merken und zu spüren.
Die Frage bleibt natürlich nochmal neu aufsetzen?? Ich glaub ich warte lieber mal ab.
MfG an alle von ALF

 

Woraus schließt du das? Aus der Bemerkung des TO, dass er in der Registry nichts gefunden hat? Hmm, bin mir da nicht so sicher. Es scheint mir eher so zu sein, dass der TO nicht so recht weiß, wie und wo er suchen soll.

Mir kam es auch mehr darauf an, darauf hinzuweisen, dass das Ding ein ganz gutes Gefahrenpotential darstellt. Ich persönlich wäre jedenfalls mit einem System unzufrieden, bei dem ich nicht wüßte, was da so alles drauf ist und vielleicht mit mir Schabernack treibt.

 

Wie es anhand der wenigen vorliegenden Infos (die meilenweit von nachprüfbaren harten Fakten entfernt sind) für dich bei dieser gewagten Ferndiagnose aussieht, ist nebensächlich.
Ein verantwortungsvoller Rat kann nicht darin bestehen, halbe Sachen zu empfehlen und den günstigsten Fall anzunehmen.

Nein. Das kann man nur, wenn man den Code analysiert und testet.

 

Irgendwo im Systemordner - und warum nicht im "Prefetch (obwohl es da natürlich nicht hingehört).

Also solltest du erstmal die Datei dort löschen, neu starten und im Task-Manager nachgucken, ob der Wurm wieder auftaucht.

Aber selbst wenn du Glück hast und das Ding weg ist, hast du nur 'ne halbe Lösung. Der dazugehörige Wurm hat mal wieder einen Trojaner im Gepäck und hier kann keiner mit Sicherheit sagen, ob der Trojaner ausgeführt wurde oder nicht. Also solltest du auf alle Fälle alle Passwörter ändern. Außerdem wäre es nicht schlecht, darüber nachzudenken, das System neu aufzusetzen, wie bereits von mschuetzda und Steele empfohlen.

 

Und wo bitte steckt das kleine "Biest" ??

 

Hallo,
die Dateien im Ordner PREFETCH werden von XP zur Optimierung des Startverhaltens der Programme genutzt. Der gesamte Ordnerinhalt kann bedenkenlos gelöscht werden.
Damit dürfte das problem aber nicht gelöst sein.
das "Biest" steckt woanders und deshalb ist es besser den Rat von steele zu befolgen und neu aufzusetzen.

 

Jetzt versuche mal ob du an den Ordner PREFETCH kommst und die Datei umbenennen kannst. Habe hier kein WinXP und somit keine Ahnung ob dich dein XP an den "PREFETCH" dran lässt.
Wenn sich die Datei umbenennen lässt kann der Virus beim booten nicht mehr aktiviert werden.

 

Beenden kann ich den Prozess wuamgrd.exe über den Task-Manager