Miss Marple windows update/wuamgrd.exe |
||
---|---|---|
#0
| ||
11.05.2004, 14:02
Ehrenmitglied
Beiträge: 29434 |
||
|
||
11.05.2004, 14:07
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Zitat Sabina posteteHilfe, mein Computer hat ein Eigenleben entwickelt... Habe bereits mehrere Programme durchlaufen lassen ( XoftSpy, Adaware 6, Antivir), die nichts mehr melden,nachdem sie allerdings etliches entfernt hatten. Die konnte ich allerdings erst benutzen ,nachdem ich Agobot ZY per Hand vom Computer enfernt habe. Die Updates von Microsoft zu installieren war bis gestern abend auch nicht möglich, bis ich XP von der CD drüberinstalliert habe, zuvor ging da gar nichts. Eigentlich wollte ich Zonealarm als Firewall installieren, aber ich kann es lediglich herunterladen, ausführen geht nicht. Wenn ich auf Internetseiten gehen möchte, die bestimmte Wörter enthalten, die mit Viren oder Trojanern zu tun haben, stürzt der Browser ab, egal ob Netscape, T-Online_Browser oder Opera. Das Stinger Programm, das ich mir heruntergeladenhatte, wollte der Computer nicht öffnen mit der Auskunft, ich hätte nicht die erforderliche Berechtigung dazu. ( dabei bin ich Admin) Hab auch schon versucht, die Norton Firewall zu installieren, aber die führt er auch nicht aus, beim Start des Installationsvorgangs erscheinen Hunderte kleine Fenster, ob ich den Vorgang abbrechen möchte. "wuamgrd.exe" hab ich im Task Manager und laufenden Prozessen gefunden. Der Microsoft Baseline Security Analyzer meldet dauernd Probleme, daß zwecks Überprüfung für Sicherheitsupdates nicht auf die Registrierung zugegriffen weden konnte . Außerdem meldet das Programm, daß 2 angemeldete Administratoren da sind, nämlich einmal ich und ein weiterer ( eigentlich war ich bisland alleinige Nutzerin meines PCs, dachte ich jedenfalls :/ ), der sich einfach "Administrator" nennt und an erster Stelle steht. Hilfe. Ich kenn mich leider nicht sehr gut aus, aber ich hab hier irgendwo gelesen, daß das nichts Wünschenswertes ist. Was kann ich jetzt tun ? -- Sorry, für das 2. Topic, aber ich kann meinen eigenen Beitrag leider nicht mehr aufrufen, da ich HighjackThis im Titel habe ( sehr clever ausgewählt...). Wenn ich es anklicke, stürzt gleich der ganze Opera ab. Also bitte hier antworten, sonst kann ich nix lesen... Danke vielmals im Voraus. Hab den von Euch angegebenen Shredder mal ausgeführt und Folgendes kam zum Vorschein : "CWShredder v1.57.0 scan only report Please understand that a CWShredder 'Scan only' report might not be sufficient to troubleshoot an infected system. You can use HijackThis for that: http://www.merijn.org/files/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Windows XP (5.01.2600 SP1) Windows dir: C:\WINDOWS Windows system dir: C:\WINDOWS\system32 AppData folder: C:\Dokumente und Einstellungen\Bille\Anwendungsdaten Username: Bille Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (1932 bytes, A) Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe, CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com • dword:4 CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwwwsearch.com • dword:4 CWS.Googlems.2 (if value is 2) Registry value: Domains: *.xxxtoolbar.com • dword:4 CWS.Googlems.4 (if value is 2) Registry value: Domains: *.teensguru.com • dword:4 Registry value: DefaultPrefix (should be http://) [] http:// Registry value: WWW Prefix (should be http://) [www] http:// Registry value: Mosaic Prefix (should be http://) [mosaic] http:// Registry value: Home Prefix (should be http://) [home] http:// " Found Win.ini file: C:\WINDOWS\win.ini (1475 bytes, A) Found System.ini file: C:\WINDOWS\system.ini (227 bytes, A) - END OF REPORT - Den HighjackThis konnte ich inzwischen herunterladen, aber beim Entpacken stürzt alles ab. -- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.05.2004, 14:19
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#3
---Wiederherstellung deaktivieren
---Deaktiviere unter Verwaltung<Dienste< das automatische WindowsUpdate. Firewall laden http://smb.sygate.com/products/spf_standard.htm oder, wenn es nicht geht, die Windows-Firewall aktivieren In den abgesicherten Modus gehen (F8) beim Hochfahren druecken 1. --------- Start<Ausfuehren<regedit reinschreiben Geh in die Registry: Start<Ausfuehren<regedit reinschreiben HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Microsoft Update = wuamgrd.exe userinit.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ Microsoft Update = wuamgrd.exe userinit.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Microsoft Update = wuamgrd.exe userinit.exe HKU\Software\Microsoft\Windows\CurrentVersion\Run\ Microsoft Update = wuamgrd.exe userinit.exe HKU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ Microsoft Update = wuamgrd.exe userinit.exe Entfernen Sie alle Verweise auf Dateien von: ------------------------------------------ wuamgrd.exe userinit.exe Microsoft Update Der Wurm erstellt außerdem die Protokolldatei \debug.txt. auch suchen und loeschen ! ----------------------------------------------------------------------------------------------------- 2. ---------- C:\WINDOWS\system32\wuamgrd.exe suchen in das verzeichnis hingehen und die wuamgrd.exe z.B. in won.exe umbenennen. 2. Rechner neustarten (wieder im abgesicherten Modus) und nochmal nach scannen mit dem Antivirus. diesmal wird die won.exe gefunden und erfolgreich gelöscht 3. ----------- Dann die mwav.exe laden und scannen http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm AdAware (free) laden und scannen http://lavasoft.element5.com/german/support/download/ SpywareRemove laden, scannen http://www.spywareremove.com/ CWShredder laden und scannen http://www.spywareinfo.com/~merijn/downloads.html Spybot laden, scannen http://beam.to/spybotsd WebWasher laden, scannen und somit den IE aeubern Dann unter InternetOptionen die Startseite neu einstellen http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html 4. ----------- Das komplette Log vom HicjackThis noch einmal posten. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.05.2004 um 14:47 Uhr von Sabina editiert.
|
|
|
schonmal danke für Deine Antwort...
Ich kann sie leider nur nicht lesen, da ich mein eigenes Thema nicht öffnen kann. Wenn ich draufgehe, schließt sich immer mein Browser, das muß an dem Trojaner liegen. Kannst Du vielleicht meine Überschrift ändern ? Bei den Worten Firewall und HighjackThis klappt mir alles zu, wenn die in einem Link oder in einer Überschrift vorkommen .
Ich hab immer wieder Virenscanner und Antivir geupdatet, und auch die Updates von Mikrosoft runtergeladen, und alles ausgeführt, aber die melden keine Funde mehr.
Trotzdem steht "windows update/wuamgrd.exe" steht immer noch im Task Mananager und in der Registrierung unter Run und Run Services bei HKEY_LOKAL_MACHINE/Software/Mikrosoft/Windows/Current Version/Run bzw ..../Run Services.
Wär also echt lieb, wenn Du den Titel meines Themas umändern würdest, damit ich da reingucken und Deine Antwort lesen kann - beim Erstellen hab ich nicht daran gedacht, daß ich ja genau die "falschen" Wörter benutze...
Viele Grüße,
Sybille
__________
MfG Sabina
rund um die PC-Sicherheit