Hallo,ich hab XP Home,vorhin unter msconfig bei "Systemstart" geguckt-u.a.
"muamgrd.exe" gefunden.Ich geb "muamgrd" bei google ein,weil ich wissen wollte,was das is,da seh ich zig Ergebnisse a la "Virus..." , "HijackThis..", "Hilfe.." , auch ein Thread hier im Forum,jedenfalls alles Richtung malware.Ich krieg gleich Panik,weil ich nen neuen Rechner hab,ich hatte schon jede Menge verschiedenster malware,weil ich am Anfang ins Netz ging,ohne vorher die neuesten Updates installiert zu haben.Jedenfalls war dann ne Systemwiederherstellung fällig,danach hab ich alle Updates installiert+SP2 und ich dachte+denke,das System is sauber.Die letzten Tage haben auch antivir,adaware+Spybot nix gefunden.In der Registry steht vor "muamgrd.exe"
Microsoft Update (automatisches Update is bei mir ja auch installiert).Ich kann mir nicht vorstellen,dass ich schon wieder malware aufm Rechner hab.Weiß jemand definitv sicher,was dieses "muamgrd.exe" ist? Gruss Andreas

Das dürfte in der Tat ein Schädling, auf jeden Fall kein "echter" Windows-Prozess. Wir hatten die Datei hier auch schon einige Male, glaube ich.

Teste sie mal hier:
http://www.kaspersky.com/de/scanforvirus

oder lass gleich E-Scan durchlaufen:

http://www.trojaner-board.de/42731-escan-anleitung.html

Poste ein HJT-Log:

http://www.trojaner-board.de/51130-a...ijackthis.html

Es ist löblich, dass du nach einem Virenbefall neu installiert hast, aber wahrscheinlich sind noch eine Änderungen im Surfverhalten und der Konfiguration der Programme notwendig (Umgang mit aktiven Inhalte und Downloads). Hast du das SP2 offline installiert oder die XP-Firewall für die erste Verbindung vor dem Online-Upüdate aktiviert?

hallo,das SP2 hatte ich-leider ?-online installiert,aber ich hatte vorher mit dem aktualisierten antivr,adaware+Spybot gescannt-nichts gefunden.

Hier das Log:

Logfile of HijackThis v1.98.2
Scan saved at 18:57:09, on 30.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ANDREAS\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [WindowsRegKey Autoupdate] explorer.exe
O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE"
O4 - HKLM\..\RunServices: [WindowsRegKey Autoupdate] explorer.exe
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093355704125
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.kochmesser.de/scan/Msie/bitdefender.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...88/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28DC152B-6EC0-4D1A-BD77-AF0B5036B17E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7333D72-B559-4121-98CF-E2C403E6CA23}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{28DC152B-6EC0-4D1A-BD77-AF0B5036B17E}: NameServer = 192.168.122.252,192.168.122.253

Fixen:

O4 - HKLM\..\Run: [WindowsRegKey Autoupdate] explorer.exe
O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\RunServices: [WindowsRegKey Autoupdate] explorer.exe
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe


Im abgesicherten Modus damit scannen: http://www.trojaner-board.de/42731-escan-anleitung.html

hallo,danke für eure Hilfe+Tips.Ich bin jetzt so verfahren,wie von Christian empfohlen,gefixt+gescannt-danach keine Funde.Ich hab trotzdem noch ne Frage,ohne jetzt besserwisserisch auftreten zu wollen-in der Registry sind noch Schlüssel von"muamgrd"-unter HKLM SYSTEM Sercices und Roots.Kann es nicht sein,dass dieses "muamgrd" sich in irgendeiner Weise auf Microsofts automatisches Update bezieht? Sowas stand ja auch in denWerten der Schlüssel und als Laie denk ich eben,dass sich "muamgrd" auf das autom.Update bezieht-oder is dieser Ansatz komplett falsch?
Vor HijackThis hatten ja auch weder antivir noch adaware o.Spybot etwas gefunden und das System lief ja auch problemlos.
Gruss Andreas

Hallo lasker,

Zitat:

Kann es nicht sein,dass dieses "muamgrd" sich in irgendeiner Weise auf Microsofts automatisches Update bezieht? Sowas stand ja auch in denWerten der Schlüssel und als Laie denk ich eben,dass sich "muamgrd" auf das autom.Update bezieht-oder is dieser Ansatz komplett falsch?

Da liegst du komplett falsch.
Die muamgrd.exe ist der Backdoor.Rbot.gen!

Dein System ist kompromittiert und sollte imho neuaufgesetzt werden, um wieder einen vertrauenswürdigen Zustand herzustellen.
http://faq.underflow.de/#SECTION000120000000000000000
http://oschad.de/wiki/index.php/Kompromittierung

Hier hast du zwei Info Thread´s von mir und dort ist auch die weitere Vorgehensweise beschrieben:
http://board.protecus.de/showtopic.php?threadid=11729
http://www.pcwelt.de/index.cfm?pid=1...70386&page=1&g