Wuamgrd.exe

[Rosie_f]

Hej.

 

Allt som oftast kommer det upp ett meddelande som säger något i stil med att Wuamgrd.exe stött på problem och måste avslutas. Nu påstår en polare att detta är ett virus! Är det så? Och i så fall: Vad ska jag göra? Jag har Normans virusprogram installerat och kör Windows XP.

 

[Zipp.]

 

Ladda ner HijackThis och scanna dator med det och skicka hit loggen sen så ska vi ta en titt på den.

 

http://koti.mbnet.fi/pattaya1/HijackThis.exe

 

 

[[@]]

Hej

 

Wuamgrd.exe tillhör viruset WORM_AGOBOT.GY Kör viruscan.

 

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.GY&VSect=T

 

 

[Rosie_f]

 

Jag är inte så värst kunnig så du måste nog förklara närmare. Jag har laddat hem det föreslagna programmet, men vad innebär "loggen"?

 

 

[inlägget ändrat 2004-09-20 19:22:11 av Rosie_f]

[Rosie_f]

 

Jag borde kanske tillagt att jag har kört virusprogrammet utan resultat. Det hittar inget.

 

 

[[@]]

Prova nån dem här....

 

F-Secure Online Virus Scanner

http://support.f-secure.se/swe/home/ols.shtml

 

Panda ActiveScan

http://www.pandasoftware.com/activescan/com/activescan_principal.

htm

 

HouseCall

Scan Now

http://housecall.trendmicro.com/housecall/start_corp.asp

 

 

[927]

 

klicka på scan så får du upp en logg

 

[Zipp.]

Klicka Scan

Sen klicka Save log och spara den någonstans.

Sen kopiera den och skicka hit den.

 

[Rosie_f]

Menar du så här:

Logfile of HijackThis v1.98.2

Scan saved at 20:44:21, on 2004-09-20

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

H:\WINDOWS\System32\smss.exe

H:\WINDOWS\system32\csrss.exe

H:\WINDOWS\system32\winlogon.exe

H:\WINDOWS\system32\services.exe

H:\WINDOWS\system32\lsass.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\Program\Ahead\InCD\InCDsrv.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\system32\spoolsv.exe

H:\WINDOWS\System32\Ati2evxx.exe

H:\Program\Norman\NPF\NPFSVICE.EXE

H:\Norman\NVC\BIN\Zanda.exe

H:\Program\Analog Devices\SoundMAX\SMAgent.exe

H:\NORMAN\nvc\BIN\NJEEVES.EXE

H:\NORMAN\Nvc\BIN\nipsvc.exe

H:\NORMAN\nvc\BIN\nvcoas.exe

H:\NORMAN\nvc\BIN\NVCSCHED.EXE

H:\WINDOWS\System32\alg.exe

H:\WINDOWS\Explorer.EXE

H:\NORMAN\Nvc\BIN\ZLH.EXE

H:\Program\Delade filer\Real\Update_OB\realsched.exe

H:\Program\ekort\ekort.exe

H:\Program\Ahead\InCD\InCD.exe

H:\WINDOWS\system32\ctfmon.exe

H:\Program\Messenger\msmsgs.exe

H:\Program\Microsoft Office\Office\FINDFAST.EXE

H:\Program\Norman\NPF\NPFMSG.EXE

H:\NORMAN\Nvc\BIN\NYMSE.EXE

H:\Program\Microsoft Office\Office\OSA.EXE

H:\NORMAN\Nvc\BIN\cclaw.exe

H:\NORMAN\Nvc\BIN\NIP.EXE

H:\Program\VIA\RAID\raid_tool.exe

H:\Program\WinZip\WZQKPICK.EXE

H:\Program\Outlook Express\msimn.exe

H:\Documents and Settings\Carina\Mina dokument\Nedladdade program\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lordotrings.com/default.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.glocalnet.se

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: e-kort Browser Helper Object - {1C900459-DEEF-4aa9-B260-1EF0F0C70A8D} - H:\WINDOWS\System32\Bhoekort.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\program\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [Norman ZANDA] H:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [TkBellExe] "H:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ekort] H:\Program\ekort\ekort.exe /dontopenmycards

O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] H:\Program\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe

O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "H:\Program\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office Snabbsökning.lnk = H:\Program\Microsoft Office\Office\FINDFAST.EXE

O4 - Global Startup: NPF Messenger.lnk = ?

O4 - Global Startup: Office-autostart.lnk = H:\Program\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: VIA RAID TOOL.lnk = H:\Program\VIA\RAID\raid_tool.exe

O4 - Global Startup: WinZip Quick Pick.lnk = H:\Program\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Google Search - res://h:\program\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://h:\program\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://h:\program\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://h:\program\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://h:\program\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: e-kort - {4C730913-3961-439b-83D5-F4E445520422} - H:\Program\ekort\ekort.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program\Messenger\msmsgs.exe

O12 - Plugin for .mid: H:\Program\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: H:\Program\Internet Explorer\PLUGINS\npqtplugin.dll

O14 - IERESET.INF: START_PAGE_URL=http://start.glocalnet.se

O16 - DPF: {0990D180-4226-4530-9777-AB82315505B9} (Installer Class) - http://www.foreningssparbanken.se/betala/ekort/oinstall.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/257ba076f1619db12f16/netzip/RdxIE601.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E63BB8A3-C654-40B4-8369-28E9D32CE9D6}: NameServer = 195.67.199.9 195.67.199.10

 

 

 

 

[Zipp.]

 

Skapa en ny mapp på H:/ och placera HijackThis.exe dit så H:/HjT/HijackThis.exe

 

Sätt dolda filer synliga titta här hur man gör

 

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

 

 

 

Scanna med Hijack bocka i följande rader stäng Web-läsaren och alla andra öppna fönster och klicka FIX checked

 

O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCent

ralInitialSetup1.0.0.8.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/257ba076f1619db12f16/netzip/RdxIE601.

cab

 

 

Starta sen i felsäkert läge sök och ta bort (delete) filen

 

wuamgrd.exe

 

 

 

 

[Rosie_f]

 

Jag har skannat md Hijack, bockat för och fixat. Så långt allt väl. Men (nu skäms jag lite)jag klarar inte av att starta i felsäkert läge. Jag är lite ovan med XP, hade W98 tidigare. Jag sökte i hjälpfunktionen men den verkar faktiskt ge fel svar... Jag begriper det inte i alla fall.

 

Sätta dolda filer synliga, är det ett måste? Jag blir lite nervös när det kommer upp varningsrutor som hotar med att datorn kanske aldrig mer kommer att starta. Överdriver lite. ;-)

 

[[@]]

Om du trycker F8 precis när datorn skall starta Windows så får du upp ett menyval med startalternativ.

Välj felsäkert läge.

 

Sätta dolda filer synliga, är det ett måste?

 

Ja.

 

 

[Rosie_f]

 

Tack ska ni ha. Jag har gjort mitt bästa även om jag var lite tveksam ibland hur det var tänkt. Hur kollar jag nu om wuamgrd verkligen är borta? Scannar jag med Jijack igen kanske?

 

[[@]]

Hur kollar jag nu om wuamgrd verkligen är borta? Scannar jag med Jijack igen kanske?

 

Japp.