Wer kennt eine wmram.exe?

Raptor · 11.08.2005, 20:13

Ich frage deshalb, weil dieser Prozess seit ein paar Tagen auf meinem PC aktiv ist u. viel Speicher verbraucht. Wenn ich den Task kille, startet er sofort wieder neu. Wenn ich ihn unter msconfig deaktiviere, ist er beim nächsten Neustart aktiv und wenn ich die Datei wmram.exe unter windows\system32 in wmram.shit umbennene, ist sie nach dem nächsten Neustart wieder da. Wenn keiner eine Idee hat, wo der Mistkerl sich versteckt haben könnte, werde ich wohl ein Backup von letzter Woche aufspielen müssen. Nur dann muß ich auch einiges im Flusi wieder neu installieren

.

P.S: ich hab's einfach mal hier reingesetzt. Hoffe es stört niemanden.

Gruß
Franz

Skywalker · 11.08.2005, 20:40

Scheint ein ganz exotischer Hijacker/Wurm zu sein!

Sieh mal hier rein:

http://forum.avast.com/index.php?PHP...8630#msg128630

Raptor · 11.08.2005, 20:49

Zitat:

Original geschrieben von Skywalker
Scheint ein ganz exotischer Hijacker/Wurm zu sein!

Sieh mal hier rein:

http://forum.avast.com/index.php?PHP...8630#msg128630

Was hab ich mir denn da nur eingefangen

. Ich werde wohl formatieren u. das Backup auf die Partition spielen. Danke für den Link.

Gruß
Franz

Stef_EDDH · 11.08.2005, 22:01

Ob es sich dabei wirklich um einen Schädling handelt, bin ich mir mal gar nicht so sicher. Jedenfalls habe ich außer dem verlinkten Eintrag nirgendwo etwas über einen solchen Prozess finden können. Das schließt zwar einerseits nahezu aus, daß es sich um einen Windows-Standardprozess handelt, andererseits wäre das seltene Vorkommen auch für Schädlinge recht ungewöhnlich. Was für Programme starten denn bei dir beim Systemstart automatisch (und absichtlich)?

Raptor · 11.08.2005, 22:27

Zitat:

Original geschrieben von Stef_EDDH
Ob es sich dabei wirklich um einen Schädling handelt, bin ich mir mal gar nicht so sicher. Jedenfalls habe ich außer dem verlinkten Eintrag nirgendwo etwas über einen solchen Prozess finden können. Das schließt zwar einerseits nahezu aus, daß es sich um einen Windows-Standardprozess handelt, andererseits wäre das seltene Vorkommen auch für Schädlinge recht ungewöhnlich. Was für Programme starten denn bei dir beim Systemstart automatisch (und absichtlich)?

Nur die, welche ich auch zulasse. Mit Ausühren\msconfig kann man genau sehen welche Dienste beim Systemstart, oder als normaler Dienst gestartet werden. Es gibt noch andere Tools die einem genau verraten, was hinter einem aktiven Task steckt. Was mich alarmierte, ist die Tatsache, das es kein mir bekannter XP Dienst ist u. das er sich nicht beenden läßt. Beides deutet auf einen 'Schädling' hin. Dann verbraucht das Teil noch einen großen Teil an CPU u. Speicher. Ich hab das Problem mittlerweile erfolgreich behoben u. kann nur empfehlen zu prüfen, ob es bei Euch auch aktiv ist. SpyBot hat es z.b. nicht erkannt!

Gruß
Franz

Skywalker · 11.08.2005, 22:51

Zitat:

Original geschrieben von Raptor
Was mich alarmierte, ist die Tatsache, das es kein mir bekannter XP Dienst ist u. das er sich nicht beenden läßt. Beides deutet auf einen 'Schädling' hin. Dann verbraucht das Teil noch einen großen Teil an CPU u. Speicher. Ich hab das Problem mittlerweile erfolgreich behoben

Das siehst du sicher richtig!

Wie hast du es denn behoben?

Hast du die "run" und "run once" Sektionen der registry gecheckt? Sonst kommt dat ding nochmal zurück!

Bei Symantec kannst auch mal vorbeischauen, die haben ein recht großes Arsenal bekannter Kriechtiere und viele Einzellösungen und auch in der Microsoft Knowledge Base.

Raptor · 11.08.2005, 23:16

Zitat:

Original geschrieben von Skywalker
Das siehst du sicher richtig!

Wie hast du es denn behoben?

Hast du die "run" und "run once" Sektionen der registry gecheckt? Sonst kommt dat ding nochmal zurück!

Bei Symantec kannst auch mal vorbeischauen, die haben ein recht großes Arsenal bekannter Kriechtiere und viele Einzellösungen und auch in der Microsoft Knowledge Base.

Da ich in mit allen möglichen Backup-Programmen, auch mit XP eigenen System wiederherstellunsgs- Programmen, nur negative (auch beruflich) Erfahrungen machen mußte, hab ich eine Windows 2000 Installation, von der aus ich die komplette XP Partition sichere. Ist ja bei den heutigen Plattenkapazitäten null Problemo. So hab ich ein unverseuchtes XP von vor 3 Tagen zurückgespielt. Nix gegen Backup Programme. Ich bin damit aber bisher immer gut gefahren. Aber Vorsicht mit dem FS!
Flight1 z.b. koppelt seine Lic's immer an die Partition-ID. Also nicht formatieren! Sonst droht wieder mal der Flight1 Wrapper

.

P.S: mußte ich erst kürzlich erfahren

.

Gruß
Franz

Martin221 · 04.09.2005, 11:21

Die vermutlich schädliche Software
Windows/system32/wmram.exe
wird beispielsweise verbreitet durch
die bei Softpedia angebotene Shareware
Change Harddisk Volume ID 1.0.

Entfernen läßt sich wmram.exe aus dem laufenden System heraus nicht, weil sich der Autostart Eintrag immer wieder selbst zurückschreibt.

wmram.exe läßt sich zwar entfernen, wenn man den PC von CD, beispielsweise mit KnoppixCD, hochfährt -

nach dem ersten Einnisten dieses 'Wurms' muss es aber noch weitere Schädlingsquellen geben, denn nach Hochfahren von Festplatte ist wmram.exe zwar zunächst verschwunden, taucht nach einigen Minuten jedoch erneut auf.

Zur dauerhaften Entfernung ist also wohl wirklich eine Neuinstallation / Zurückspielen einer Altinstallation (wenn man so etwas hat) nötig.

Viel Erfolg
Martin

----------
PS:
Übrigens zum Ändern der HDD Volume ID düfte das Freeware Programm von sysinternals bessen sein als der Softpedia Mist.

Zur Überwachung, ob man sich derartiges Ungeziefer wie wmrem.exe einfängt, empfehle ich neben einem Antiviren-Programm das kleine Programm StartupMonitor, das jeden neuen AutostartEintrag meldet, so dass man sofort merkt, wenn sich ungebetene Gäste einnisten.[color=orangered]Anders als durch Neuinstallation oder Zürückspielen einer Altinstallation läßt sich sich wram.exe aber auch entfernen, wenn man den PC nicht von Festplatte, sondern von CD hochfährt. (Ob es auch im Windows Safe-Modus geht, habe ich nicht ausprobiert.)

Raptor · 05.09.2005, 17:58

Zitat:

Original geschrieben von Martin221
Die vermutlich schädliche Software
Windows/system32/wmram.exe
wird beispielsweise verbreitet durch
die bei Softpedia angebotene Shareware
Change Harddisk Volume ID 1.0.

----------
PS:
Übrigens zum Ändern der HDD Volume ID düfte das Freeware Programm von sysinternals bessen sein als der Softpedia Mist.

Genau durch dieses Tool hab ich es mir eingefangen. Hätte ich doch nur mal bei Sysinternals nachgesehen

. Der Neuaufbau meines Systems hat mich fast eine Woche gekostet.

Gruß
Franz

Skywalker · 05.09.2005, 20:20

Zitat:

Original geschrieben von Raptor
Genau durch dieses Tool hab ich es mir eingefangen. Hätte ich doch nur mal bei Sysinternals nachgesehen . Der Neuaufbau meines Systems hat mich fast eine Woche gekostet.

Gruß
Franz

Hi,

woher hättest du das wissen sollen?

Im Viren- und Würmergeschäft kannst du nur durch Schaden klug werden, wenn du nicht gerade zufällig vorgewarnt wurdest.

Bevor ich elementare basics wie z.B. mit Mozilla statt mit IE über ein Gastkonto statt mit Admin-Rechten zu surfen oder überflüssige Dienste abschalten lernte, musste ich mir auch erst rbota.32 und wblaster.32 einfangen, format c: machen und mich dann mal richtig damit beschäftigen

11.08.2005, 20:13	#1
Raptor Gesperrt Registriert seit: 22.11.2000 Beiträge: 1.593	Wer kennt eine wmram.exe? Ich frage deshalb, weil dieser Prozess seit ein paar Tagen auf meinem PC aktiv ist u. viel Speicher verbraucht. Wenn ich den Task kille, startet er sofort wieder neu. Wenn ich ihn unter msconfig deaktiviere, ist er beim nächsten Neustart aktiv und wenn ich die Datei wmram.exe unter windows\system32 in wmram.shit umbennene, ist sie nach dem nächsten Neustart wieder da. Wenn keiner eine Idee hat, wo der Mistkerl sich versteckt haben könnte, werde ich wohl ein Backup von letzter Woche aufspielen müssen. Nur dann muß ich auch einiges im Flusi wieder neu installieren . P.S: ich hab's einfach mal hier reingesetzt. Hoffe es stört niemanden. Gruß Franz

11.08.2005, 22:01	#4
Stef_EDDH Master Registriert seit: 03.06.2005 Beiträge: 630	Ob es sich dabei wirklich um einen Schädling handelt, bin ich mir mal gar nicht so sicher. Jedenfalls habe ich außer dem verlinkten Eintrag nirgendwo etwas über einen solchen Prozess finden können. Das schließt zwar einerseits nahezu aus, daß es sich um einen Windows-Standardprozess handelt, andererseits wäre das seltene Vorkommen auch für Schädlinge recht ungewöhnlich. Was für Programme starten denn bei dir beim Systemstart automatisch (und absichtlich)? ____________________________________ Gruß Steffen IVAO: TXU113 / EDDH_TWR, manchmal auch D-ESTW und D-IOSC

04.09.2005, 11:21	#8
Martin221 Newbie Registriert seit: 04.09.2005 Beiträge: 3	wmram.exe entfernen Die vermutlich schädliche Software Windows/system32/wmram.exe wird beispielsweise verbreitet durch die bei Softpedia angebotene Shareware Change Harddisk Volume ID 1.0. Entfernen läßt sich wmram.exe aus dem laufenden System heraus nicht, weil sich der Autostart Eintrag immer wieder selbst zurückschreibt. wmram.exe läßt sich zwar entfernen, wenn man den PC von CD, beispielsweise mit KnoppixCD, hochfährt - nach dem ersten Einnisten dieses 'Wurms' muss es aber noch weitere Schädlingsquellen geben, denn nach Hochfahren von Festplatte ist wmram.exe zwar zunächst verschwunden, taucht nach einigen Minuten jedoch erneut auf. Zur dauerhaften Entfernung ist also wohl wirklich eine Neuinstallation / Zurückspielen einer Altinstallation (wenn man so etwas hat) nötig. Viel Erfolg Martin ---------- PS: Übrigens zum Ändern der HDD Volume ID düfte das Freeware Programm von sysinternals bessen sein als der Softpedia Mist. Zur Überwachung, ob man sich derartiges Ungeziefer wie wmrem.exe einfängt, empfehle ich neben einem Antiviren-Programm das kleine Programm StartupMonitor, das jeden neuen AutostartEintrag meldet, so dass man sofort merkt, wenn sich ungebetene Gäste einnisten.[color=orangered]Anders als durch Neuinstallation oder Zürückspielen einer Altinstallation läßt sich sich wram.exe aber auch entfernen, wenn man den PC nicht von Festplatte, sondern von CD hochfährt. (Ob es auch im Windows Safe-Modus geht, habe ich nicht ausprobiert.)

11.08.2005, 20:40	#2
Skywalker Hero Registriert seit: 28.12.2004 Beiträge: 827	Scheint ein ganz exotischer Hijacker/Wurm zu sein! Sieh mal hier rein: http://forum.avast.com/index.php?PHP...8630#msg128630

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)