Wer kennt eine wmram.exe?
 

Ich frage deshalb, weil dieser Prozess seit ein paar Tagen auf meinem PC aktiv ist u. viel Speicher verbraucht. Wenn ich den Task kille, startet er sofort wieder neu. Wenn ich ihn unter msconfig deaktiviere, ist er beim nächsten Neustart aktiv und wenn ich die Datei wmram.exe unter windows\system32 in wmram.shit umbennene, ist sie nach dem nächsten Neustart wieder da. Wenn keiner eine Idee hat, wo der Mistkerl sich versteckt haben könnte, werde ich wohl ein Backup von letzter Woche aufspielen müssen. Nur dann muß ich auch einiges im Flusi wieder neu installieren :confused:.

P.S: ich hab's einfach mal hier reingesetzt. Hoffe es stört niemanden.

Gruß
Franz

Scheint ein ganz exotischer Hijacker/Wurm zu sein!

Sieh mal hier rein:

http://forum.avast.com/index.php?PHP...8630#msg128630

Was hab ich mir denn da nur eingefangen :mad:. Ich werde wohl formatieren u. das Backup auf die Partition spielen. Danke für den Link.

Gruß
Franz

Ob es sich dabei wirklich um einen Schädling handelt, bin ich mir mal gar nicht so sicher. Jedenfalls habe ich außer dem verlinkten Eintrag nirgendwo etwas über einen solchen Prozess finden können. Das schließt zwar einerseits nahezu aus, daß es sich um einen Windows-Standardprozess handelt, andererseits wäre das seltene Vorkommen auch für Schädlinge recht ungewöhnlich. Was für Programme starten denn bei dir beim Systemstart automatisch (und absichtlich)?

Nur die, welche ich auch zulasse. Mit Ausühren\msconfig kann man genau sehen welche Dienste beim Systemstart, oder als normaler Dienst gestartet werden. Es gibt noch andere Tools die einem genau verraten, was hinter einem aktiven Task steckt. Was mich alarmierte, ist die Tatsache, das es kein mir bekannter XP Dienst ist u. das er sich nicht beenden läßt. Beides deutet auf einen 'Schädling' hin. Dann verbraucht das Teil noch einen großen Teil an CPU u. Speicher. Ich hab das Problem mittlerweile erfolgreich behoben u. kann nur empfehlen zu prüfen, ob es bei Euch auch aktiv ist. SpyBot hat es z.b. nicht erkannt!

Gruß
Franz

Das siehst du sicher richtig!

Wie hast du es denn behoben?

Hast du die "run" und "run once" Sektionen der registry gecheckt? Sonst kommt dat ding nochmal zurück!

Bei Symantec kannst auch mal vorbeischauen, die haben ein recht großes Arsenal bekannter Kriechtiere und viele Einzellösungen und auch in der Microsoft Knowledge Base.

Da ich in mit allen möglichen Backup-Programmen, auch mit XP eigenen System wiederherstellunsgs- Programmen, nur negative (auch beruflich) Erfahrungen machen mußte, hab ich eine Windows 2000 Installation, von der aus ich die komplette XP Partition sichere. Ist ja bei den heutigen Plattenkapazitäten null Problemo. So hab ich ein unverseuchtes XP von vor 3 Tagen zurückgespielt. Nix gegen Backup Programme. Ich bin damit aber bisher immer gut gefahren. Aber Vorsicht mit dem FS!
Flight1 z.b. koppelt seine Lic's immer an die Partition-ID. Also nicht formatieren! Sonst droht wieder mal der Flight1 Wrapper :lol:.

P.S: mußte ich erst kürzlich erfahren :lol:.

Gruß
Franz

wmram.exe entfernen
 

Die vermutlich schädliche Software
Windows/system32/wmram.exe
wird beispielsweise verbreitet durch
die bei Softpedia angebotene Shareware
Change Harddisk Volume ID 1.0.

Entfernen läßt sich wmram.exe aus dem laufenden System heraus nicht, weil sich der Autostart Eintrag immer wieder selbst zurückschreibt.


wmram.exe läßt sich zwar entfernen, wenn man den PC von CD, beispielsweise mit KnoppixCD, hochfährt -

nach dem ersten Einnisten dieses 'Wurms' muss es aber noch weitere Schädlingsquellen geben, denn nach Hochfahren von Festplatte ist wmram.exe zwar zunächst verschwunden, taucht nach einigen Minuten jedoch erneut auf.

Zur dauerhaften Entfernung ist also wohl wirklich eine Neuinstallation / Zurückspielen einer Altinstallation (wenn man so etwas hat) nötig.



Viel Erfolg
Martin

----------
PS:
Übrigens zum Ändern der HDD Volume ID düfte das Freeware Programm von sysinternals bessen sein als der Softpedia Mist.

Zur Überwachung, ob man sich derartiges Ungeziefer wie wmrem.exe einfängt, empfehle ich neben einem Antiviren-Programm das kleine Programm StartupMonitor, das jeden neuen AutostartEintrag meldet, so dass man sofort merkt, wenn sich ungebetene Gäste einnisten.[color=orangered]Anders als durch Neuinstallation oder Zürückspielen einer Altinstallation läßt sich sich wram.exe aber auch entfernen, wenn man den PC nicht von Festplatte, sondern von CD hochfährt. (Ob es auch im Windows Safe-Modus geht, habe ich nicht ausprobiert.)

Re: wmram.exe entfernen
 

Genau durch dieses Tool hab ich es mir eingefangen. Hätte ich doch nur mal bei Sysinternals nachgesehen :(. Der Neuaufbau meines Systems hat mich fast eine Woche gekostet.

Gruß
Franz

Re: Re: wmram.exe entfernen
 

Hi,

woher hättest du das wissen sollen?

Im Viren- und Würmergeschäft kannst du nur durch Schaden klug werden, wenn du nicht gerade zufällig vorgewarnt wurdest.

Bevor ich elementare basics wie z.B. mit Mozilla statt mit IE über ein Gastkonto statt mit Admin-Rechten zu surfen oder überflüssige Dienste abschalten lernte, musste ich mir auch erst rbota.32 und wblaster.32 einfangen, format c: machen und mich dann mal richtig damit beschäftigen

TR.Grobot
diesen Namen hat der neue Virus bekommen, der in der Freeware "Change Harddisk ID" steckte und der sich mit der Datei wmram.exe im Windows/system32-Ordner bemerkbar machte.

Das hat mir die H+BEDV Datentechnik GmbH, der Hersteller des bekannten Programms AntiVir heute geschrieben. Bei der nächsten AntiVir-Version soll dieser Virus berücksichtigt werden.

Softpedia, wo die Freeware "Change Harddisk ID" angeboten wurde, hat dieses Angebot nach meinem Hinweis übrigens sofort gelöscht.

@Skywalker
Nicht mit Administratorrechten arbeiten ist vielleicht ganz schlau, nutzt aber wenig, wenn man Programme (wie Änderung der VolumeID) installieren will, die Administratorrechte brauchen.

Zusätzlich das Programm StartupMonitor (gibts als Freeware bei WinTotal) zeigt wenigstens sofort, wenn sich was im Autostart einnistet, was fast alle Virenprogramme versuchen. Dann weiß man wenigstens sofort, dass eine Neuformatierung fällig ist.

Du hast natürlich recht, manchmal muss man als Admin und auch mit dem IE arbeiten. Damit ist auch nur u.a. gemeint, das Infektrisiko von vornherein so klein wie möglich zu halten. Auf jeden Fall ist es äußerst sinnvoll, die ungenutzten, aber per default geöffneten Windows-Dienste abzuschalten.

Denn genau diese werden vom elektronischen Ungeziefer gerne als Pforte genutzt. Ich kann da jedem, zumindest jedem ohne Router, wirklich nur das hier empfehlen, was ein paar pfiffige Leute für uns alle entwickelt haben:

www.dingens.org

Was nützt dir die frühzeitige Kenntnis eines Infektes im PC über einen Startup-Monitor?

Es muss mit allen Möglichkeiten verhindert werden, dass es soweit kommt!

@Skywalker
Wohl wahr, dass sich die von Dir vorgeschlagenen Abwehrmaßnahmen bein Internetsurfen lohnen und daher sehr empfehlenswert sind.

Das ändert aber nichts daran, dass diese Maßnahmen im Fall von wmram.exe gar nichts bringen, denn dabei ging es ja um ein Programm, dass man sich selbst herunterlädt und selber startet.

Es geht hier also nicht um Sicherheit beim Internet-Surfen, sondern um Sicherheit beim Software-Erproben.

Damit man sich bei Software-Erproben keinen Virus einfängt, braucht man ein gutes und regelmäßig aktualisiertes Antivirusprogramm (wie die Umsonstversion von AntiVir).

In 99% ist man damit sicher. Es bleibt aber eben noch das eine Prozent, wo ein Virus so neu ist, dass das Antivirenprogramm ihn noch nicht kennt. Und zu diesem einen Prozent gehörte wmram.exe bis gestern.

Wer auch noch das eine Prozent vermeiden will, der muss eine Menge Aufwand treiben, im Prinzip einen gesonderten PC nur für Tests benutzen.

Wenn man nicht viele Programme auf seinem PC hat, ist es wahrscheinlich einfacher, in den seltenen Fällen von Virusbefall (bei mir war es der erste in fünf Jahren, der nicht vom Antivirenprogramm geblockt wurde) eine Neuinstallation zu machen.

Und damit man einigermaßen sicher sein kann, dass der eigene PC noch virenfrei ist, ist ein Programm wie der Startup-Mo nitor Klasse.

Das regelmäßige Ablehnen von Einträgen in den Autostart (nur eine handvoll Programme wie AntiVir und ähnliches braucht man dort wirklich) sorgt gleichzeitig dafür, dass der PC schnell bleibt.

Und erwischt man eine Datei, die sich nach Ablehnung sofort wieder eintragen will, kann man ziemlich sicher sein, dass man sich einen Virus eingefangen hat.

Der StartupMonitor schafft auf diese Weise ein hohes Maß an Sicherheit beim Software-Erproben. Eigentlich können dann nur noch die Viren durchschlüpfen die ohne Autostart-Einträge auskommen.



Fürs Internet-Suften braucht man dann natürlich zusätzlich noch die von Dir angesprochenen Sicherheitsmaßnahmen. Für Einfachanwender ist Dienste abschalten sicher gut. Wer mehr will und nicht weiß, welche Dienste er mal braucht, der geht am besten über einen guten Router ins Netz. Glück hat wer als Router die FritzBoxWlanFon im Sonderangebot bekommt, da er dann nicht nur für die WLan-Zukunft gerüstet ist, sondern (bei DSL-Flatrate) auch gleich noch billig (1 Cent/Min ins Festnetz und umsonst zu anderen VoIPs) telefonieren kann.

O.k., damit sind jetzt beide Möglichkeiten des Virusbefalls besprochen und es kann keiner mehr behaupten, niemand hätte ihm das gesagt ;)

Für mich leider zu spät :heul:.

Gruß
Franz

Ach was, Franz:)

Der PC konnte doch eh einen Hausputz vertragen und demnächst weißt du viel mehr!

Dummerweise hat ein Virenscanner, den ich vorsorglich drüber laufen lies, auch noch sämtliche *.exe u. *.com, *.bgl Dateien gekillt. Ob berechtigt weis ich jetzt nicht. Somit war auch mein über 20 GB großer FS9 nur noch komplett Müll. Da knabbere ich heute, einige Wochen später noch drann. Glücklicherweise hab ich kurz vorher meine gesamte Payware auf einen anderen Rechner gesichert, sonst hätte ich mir die Kugel gegeben :lol:.

Gruß
Franz