Miss Marple windows update/wuamgrd.exe

#0
11.05.2004, 14:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1 Hallo Sabine,
schonmal danke für Deine Antwort...
Ich kann sie leider nur nicht lesen, da ich mein eigenes Thema nicht öffnen kann. Wenn ich draufgehe, schließt sich immer mein Browser, das muß an dem Trojaner liegen. Kannst Du vielleicht meine Überschrift ändern ? Bei den Worten Firewall und HighjackThis klappt mir alles zu, wenn die in einem Link oder in einer Überschrift vorkommen .
Ich hab immer wieder Virenscanner und Antivir geupdatet, und auch die Updates von Mikrosoft runtergeladen, und alles ausgeführt, aber die melden keine Funde mehr.
Trotzdem steht "windows update/wuamgrd.exe" steht immer noch im Task Mananager und in der Registrierung unter Run und Run Services bei HKEY_LOKAL_MACHINE/Software/Mikrosoft/Windows/Current Version/Run bzw ..../Run Services.
Wär also echt lieb, wenn Du den Titel meines Themas umändern würdest, damit ich da reingucken und Deine Antwort lesen kann - beim Erstellen hab ich nicht daran gedacht, daß ich ja genau die "falschen" Wörter benutze...
Viele Grüße,
Sybille
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.05.2004, 14:07
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#2

Zitat

Sabina postete
Hallo Sabine,
schonmal danke für Deine Antwort...
Ich kann sie leider nur nicht lesen, da ich mein eigenes Thema nicht öffnen kann. Wenn ich draufgehe, schließt sich immer mein Browser, das muß an dem Trojaner liegen. Kannst Du vielleicht meine Überschrift ändern ? Bei den Worten Firewall und HighjackThis klappt mir alles zu, wenn die in einem Link oder in einer Überschrift vorkommen .
Ich hab immer wieder Virenscanner und Antivir geupdatet, und auch die Updates von Mikrosoft runtergeladen, und alles ausgeführt, aber die melden keine Funde mehr.
Trotzdem steht "windows update/wuamgrd.exe" steht immer noch im Task Mananager und in der Registrierung unter Run und Run Services bei HKEY_LOKAL_MACHINE/Software/Mikrosoft/Windows/Current Version/Run bzw ..../Run Services.
Wär also echt lieb, wenn Du den Titel meines Themas umändern würdest, damit ich da reingucken und Deine Antwort lesen kann - beim Erstellen hab ich nicht daran gedacht, daß ich ja genau die "falschen" Wörter benutze...
Viele Grüße,
Sybille
Hilfe,
mein Computer hat ein Eigenleben entwickelt...
Habe bereits mehrere Programme durchlaufen lassen ( XoftSpy, Adaware 6, Antivir), die nichts mehr melden,nachdem sie allerdings etliches entfernt hatten. Die konnte ich allerdings erst benutzen ,nachdem ich Agobot ZY per Hand vom Computer enfernt habe.
Die Updates von Microsoft zu installieren war bis gestern abend auch nicht möglich, bis ich XP von der CD drüberinstalliert habe, zuvor ging da gar nichts.
Eigentlich wollte ich Zonealarm als Firewall installieren, aber ich kann es lediglich herunterladen, ausführen geht nicht. Wenn ich auf Internetseiten gehen möchte, die bestimmte Wörter enthalten, die mit Viren oder Trojanern zu tun haben, stürzt der Browser ab, egal ob Netscape, T-Online_Browser oder Opera.
Das Stinger Programm, das ich mir heruntergeladenhatte, wollte der Computer nicht öffnen mit der Auskunft, ich hätte nicht die erforderliche Berechtigung dazu. ( dabei bin ich Admin)
Hab auch schon versucht, die Norton Firewall zu installieren, aber die führt er auch nicht aus, beim Start des Installationsvorgangs erscheinen Hunderte kleine Fenster, ob ich den Vorgang abbrechen möchte.
"wuamgrd.exe" hab ich im Task Manager und laufenden Prozessen gefunden.
Der Microsoft Baseline Security Analyzer meldet dauernd Probleme, daß zwecks Überprüfung für Sicherheitsupdates nicht auf die Registrierung zugegriffen weden konnte .
Außerdem meldet das Programm, daß 2 angemeldete Administratoren da sind, nämlich einmal ich und ein weiterer ( eigentlich war ich bisland alleinige Nutzerin meines PCs, dachte ich jedenfalls :/ ), der sich einfach "Administrator" nennt und an erster Stelle steht.
Hilfe.
Ich kenn mich leider nicht sehr gut aus, aber ich hab hier irgendwo gelesen, daß das nichts Wünschenswertes ist.
Was kann ich jetzt tun ?



--

Sorry, für das 2. Topic, aber ich kann meinen eigenen Beitrag leider nicht mehr aufrufen, da ich HighjackThis im Titel habe ( sehr clever ausgewählt...).
Wenn ich es anklicke, stürzt gleich der ganze Opera ab.
Also bitte hier antworten, sonst kann ich nix lesen...
Danke vielmals im Voraus.

Hab den von Euch angegebenen Shredder mal ausgeführt und Folgendes kam zum Vorschein :

"CWShredder v1.57.0 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows XP (5.01.2600 SP1)
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\system32
AppData folder: C:\Dokumente und Einstellungen\Bille\Anwendungsdaten
Username: Bille

Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (1932 bytes, A)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com • dword:4
CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwwwsearch.com • dword:4
CWS.Googlems.2 (if value is 2) Registry value: Domains: *.xxxtoolbar.com • dword:4
CWS.Googlems.4 (if value is 2) Registry value: Domains: *.teensguru.com • dword:4
Registry value: DefaultPrefix (should be http://) [] http://
Registry value: WWW Prefix (should be http://) [www] http://
Registry value: Mosaic Prefix (should be http://) [mosaic] http://
Registry value: Home Prefix (should be http://) [home] http:// "
Found Win.ini file: C:\WINDOWS\win.ini (1475 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (227 bytes, A)

- END OF REPORT -


Den HighjackThis konnte ich inzwischen herunterladen, aber beim Entpacken stürzt alles ab.

--
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.05.2004, 14:19
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#3 ---Wiederherstellung deaktivieren
---Deaktiviere unter Verwaltung<Dienste< das automatische WindowsUpdate.



Firewall laden
http://smb.sygate.com/products/spf_standard.htm

oder, wenn es nicht geht, die Windows-Firewall aktivieren

In den abgesicherten Modus gehen (F8) beim Hochfahren druecken

1.
---------
Start<Ausfuehren<regedit reinschreiben
Geh in die Registry:
Start<Ausfuehren<regedit reinschreiben

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Update = wuamgrd.exe
userinit.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Microsoft Update = wuamgrd.exe
userinit.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Update = wuamgrd.exe
userinit.exe
HKU\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Update = wuamgrd.exe
userinit.exe
HKU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Microsoft Update = wuamgrd.exe
userinit.exe

Entfernen Sie alle Verweise auf Dateien von:
------------------------------------------
wuamgrd.exe
userinit.exe
Microsoft Update

Der Wurm erstellt außerdem die Protokolldatei \debug.txt. auch suchen und loeschen !
-----------------------------------------------------------------------------------------------------

2.
----------

C:\WINDOWS\system32\wuamgrd.exe suchen in das verzeichnis hingehen und die wuamgrd.exe z.B. in won.exe umbenennen.
2. Rechner neustarten (wieder im abgesicherten Modus) und nochmal nach scannen mit dem Antivirus.
diesmal wird die won.exe gefunden und erfolgreich gelöscht

3.
-----------
Dann die mwav.exe laden und scannen
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm
AdAware (free) laden und scannen
http://lavasoft.element5.com/german/support/download/
SpywareRemove laden, scannen
http://www.spywareremove.com/
CWShredder laden und scannen
http://www.spywareinfo.com/~merijn/downloads.html
Spybot laden, scannen
http://beam.to/spybotsd
WebWasher laden, scannen und somit den IE aeubern
Dann unter InternetOptionen die Startseite neu einstellen
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html

4.
-----------
Das komplette Log vom HicjackThis noch einmal posten.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 11.05.2004 um 14:47 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: