wuamgrd.exe ein Wurm?

Hallo,

geht er terminieren ??. Laut Trendmicro sollte er sich über den Taskmanager beenden lassen. Umbenennen weil ich nicht sicher bin ob du alle Run-Einträge in der Registry findest..!

http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_AGOBOT.GY

 

Ich benutze WIN XP PRO.

Unter der WIN-Suchfunktion finde ich wuamgrd.exe nur im Ordner PREFETCH.

 

Danke. Werde mich auf den Seiten mal reinlesen. Hoffe, dass ich es behoben bekomme und es mir in Zukunft nicht mehr passiert.

 

Er meinte du möchtest bitte deine Festplatte formatieren und dein System neu installieren.

Welches Windows hast verwendest du ??.

Schaue zuerst ob diese Datei als Prozess im Taskmanager erscheint und ob du sie beenden kannst. Geht das dann suche die "wuamgrd.exe" auf deiner Festplatte und benenne sie einmal um in "wuamgrd.bak".

Wenn es tatsächlich ein Wurm ist und er gut programmiert ist lässt er sich auf diese Art nicht austricksen.

 

Man setzt das System komplett neu auf, da keine der ausführbaren Dateien noch vertrauenswürdig sind.
Man spielt vor dem ersten Onlinegang von CD alle Patches ein oder aktiviert provisorisch die Verbindungsfirewall und besorgt sich alle Patches bei Microsoft.
Danach lernt man, wie man in Zukunft sowas vermeidet.
www.linkblock.de
www.ntsvcfg.de

 

Das weiß ich nicht. Bin leider absolut kein Profi. Hätte es sonst schon längst erledigt, wenn ich es wüßte.

 

CC:
Wie entseucht man ein System, auf dem fremder Code unerlaubt lief und Manipulationen vornehmen konnte, die sich deiner Kontrolle und Kenntnis entziehen?

Wolfgang:
Die Blaster/Nachi/Welchia-Opfer haben eine grundlegende Maßnahme zur Systempflege versäumt. Da sie dermaßen sorglos mit dem System umgehen, wird ihnen eine DTFW da auch nicht weiterhelfen.

 

Natürlich hat die ZA erkannt dass da ein Programm gestartet wurde das keine explizite Genehmigung hatte eine Verbindung zum Internet herzustellen.

Wäre bei ihm eine bessere DTFW wie BlackIce von ISS installiert gewesen dann hätte die application control sogar die Ausführung des Wurms verhindert. Wobei die sich auch so einstellen lässt dass keine "Userinteraktion" (mein Brockhaus kennt dieses Kunstwort nicht).. besser "user interaction" notwendig ist.
Die zwei User hier im Forum die sich heut mal wieder den "Blaster" eingefangen haben hätten mit Firewall auch den Sonntag "wurmfrei verbracht".

 

Und wie kann ich meinen REchner jetzt wieder "entseuchen"?

 

Erklär mal, wieso das für DTFWs spricht.
Erkannt hat ZA ja nichts, lediglich höflich nachgefragt, ob was ins Netz darf.
Das passiert bei vielen Anwendungen und entscheiden muss immer der User.
Mal entscheidet er richtig, mal falsch.
In diesem Fall hat er obenrein unerhörtes Glück gehabt, dass es keine Anwendung war, die ZA einfach ausknippst oder den Browser zum Tunneln benutzt.

Man sollte sich lieber fragen, wie die Anwendung
A) überhaupt auf den REchner gelangen und
B) auch noch gestartet werden konnte.
Beides erfordert ja "eigentlich" eine Userinteraktion.
Uneigentlich reicht ein hinreichend unsicherer Browser oder die Klickeritis des Users.
Eben dies aber führt eine DTFW, die über Userinteraktion verfügt, ad absurdum.

 

Typisches Beispiel das für den Einsatz von Desktop-Firewalls spricht. Virenscanner hat versagt und ohne Firewall hättest du nicht bemerkt dass dein Rechner verseucht ist.

Grüße
Wolfgang

 

@ Steele

für deine Antworten. Du hast mir damit sehr geholfen.

 

@ Steele

Habe mir von der nachfolgenden Seite mal die Testprogramme zum umgehen/tunnenln der Firewall runtergeladen:

http://www.computerbetrug.de/firewall/tunnel.php

Ergebnis der Tests:

Unter meinem Administratorkonto funktionierten alle 3 Programme. Meine Firewall (NPF 2002) meldete nichts.

Unter meinem Benutzerkonto mit eingeschränkten Rechten funktionierte nur das Programm FireHole nicht, es kommt die folgende Fehlermeldung: "I couldn't find a default web browser to use. Sorry."

1. Kann eine Personal-Firewall nur von innen heraus getunnelt werden, d. h., es muß erst ein entsprechendes "Tunnelungsprogramm" auf meinem Rechner installiert werden oder geht das auch von außen?

2. Lohnt sich für einen Einzelplatzrechner eine Hardware-Firewall?

3. Was kostet so eine Hardware-Firewall?

4. Kann man eine Hardware-Firewall auch tunneln?

Gruß
Nevok

 

Das ist schon richtig.. es ist ein Trojaner/Backdoor, nur war bei ihm die Firewall aktiv und es sieht nicht so aus als wenn der Wurm die ZA getunnelt hat oder ausschalten konnte. Formatieren ist immer der sicherste Weg. Bei dem aufspüren und entfernen von Viren kann man auch lernen wie sie funktionieren. Zudem ist noch nicht klar auf welchem Weg der Wurm in sein System eingedrungen ist.