Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: wdfmgr.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.09.2007, 19:52   #1
cobol
 
wdfmgr.exe - Standard

wdfmgr.exe



Hallo alle zusammen,

also mein prob ist das ich in meinem taskmanager einen prozess namens
wdfmgr.exe laufen habe und nach eigenen suchem im internet wollte ich jetz dochmal fragen ob ich da einen virus oder trojaner habe oder ob mein system clean ist.

hier erstmal n HijackThis logfile

Logfile of HijackThis v1.99.1
Scan saved at 20:48:10, on 27.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\uTorrent\uTorrent.exe
F:\Downloads\Core Temp.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\Progz n' Patches\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

schon einmal vielen dank an die leute die sich mein logfile mal anschauen und mich hoffentlich beruhigen können, dass mein system clean ist und nicht infiziert wurde.

mfg
cobol

Alt 27.09.2007, 20:09   #2
undoreal
/// AVZ-Toolkit Guru
 
wdfmgr.exe - Standard

wdfmgr.exe



Hallo cobol.

Deine Problembeschreibungun dein HJT log passen nicht zueinander. Das kann mehrere Gründe haben

Hier:
Zitat:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\uTorrent\uTorrent.exe
F:\Downloads\Core Temp.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\Progz n' Patches\HiJackThis\HijackThis.exe
findet sich keine wdfmgr.exe.

Hast du den Prozess vorher beendet? Erstelle bitte ein neues HJT log während der Prozess wdfmgr.exe, im Taskmangaer angezeigt läuft.

Gruß

Undoreal
__________________

__________________

Alt 27.09.2007, 20:19   #3
cobol
 
wdfmgr.exe - Standard

wdfmgr.exe



Also ich hab das hjt log gemacht whärend der prozess lief.
Hier ist das neue HJT logfile und der prozess leif auch whärend der erstellung


Logfile of HijackThis v1.99.1
Scan saved at 21:16:50, on 27.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\uTorrent\uTorrent.exe
F:\Downloads\Core Temp.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\taskmgr.exe
F:\Progz n' Patches\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

ist denn mein HJT logfile eigentlich sonst soweit ok oder ist da irgendwie sonst noch was vorhanden?

mfg cobol
__________________

Alt 27.09.2007, 20:27   #4
undoreal
/// AVZ-Toolkit Guru
 
wdfmgr.exe - Standard

wdfmgr.exe



O.k. dann musst du definitiv etwas ändern..

Schmeiße bitte HJT und alles was damit zu tun hat vom Rechner.

Dann erstellst du nach folgender Anleitung ein neues log.


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken

Gruß

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 27.09.2007, 20:36   #5
cobol
 
wdfmgr.exe - Standard

wdfmgr.exe



Hallo Undoreal

hab das jetz so gemacht wie du gesagt hast und hier is das neue HJT logfile.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:33:51, on 27.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\uTorrent\uTorrent.exe
F:\Downloads\Core Temp.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\Progz n' Patches\This.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 4632 bytes


aber mal so nebenbei, abgesehen von diesem wdfmgr ding, ist denn sonst mein logfile sauber oder nich?

vielen dank für deine hilfe

mfg
cobol


Alt 28.09.2007, 12:17   #6
undoreal
/// AVZ-Toolkit Guru
 
wdfmgr.exe - Standard

wdfmgr.exe



Das ist doch ext zum Mäuse melken..

Ich glaub's nicht so ganz.. ^^

Fertige mal bitte einen iClean Bericht an.(Prog in eigenem Ordner öffnen->"Yes"->File->Report).

lg

Undo
__________________
--> wdfmgr.exe

Alt 28.09.2007, 12:28   #7
cobol
 
wdfmgr.exe - Standard

wdfmgr.exe



Hallo Undo

so hier is die logfile von iclean:

clean log 28.09.2007 13:25:56

Windows XP SP2, Using advanced Kernel functions

Processes
---------
808 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
868 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
896 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
940 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
952 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1112 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1196 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1548 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1664 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1808 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2036 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
564 - C:\WINDOWS\Explorer.EXE - Windows Explorer
704 - C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe - Event Monitor User Notification Tool (Signed)
732 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
768 - C:\WINDOWS\system32\RUNDLL32.EXE - Eine DLL-Datei als Anwendung ausführen
796 - C:\Programme\Java\jre1.6.0_02\bin\jusched.exe - Java(TM) Platform SE binary (Signed)
816 - C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool
844 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
876 - C:\Programme\Logitech\SetPoint\SetPoint.exe - Logitech SetPoint Event Manager
1020 - C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE - Logitech KHAL Main Process
1408 - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler
1452 - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe - RAID Monitor (Signed)
1476 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 158.19
1500 - C:\WINDOWS\system32\PnkBstrA.exe - C:\WINDOWS\system32\PnkBstrA.exe (Signed)
2000 - C:\WINDOWS\system32\wdfmgr.exe - Windows User Mode Driver Manager
340 - C:\Programme\ICQ6\ICQ.exe - ICQ Library (Signed)
2304 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
3452 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
3632 - C:\Programme\uTorrent\uTorrent.exe - C:\Programme\uTorrent\uTorrent.exe (Signed)
4028 - C:\WINDOWS\system32\wuauclt.exe - Windows Update Automatic Updates (Signed)
1980 - C:\WINDOWS\System32\wbem\wmiprvse.exe - WMI
352 - F:\Downloads\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\avira\antivir personaledition classic\sched.exe=AntiVirScheduler
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
c:\programme\intel\intel matrix storage manager\iaantmon.exe=IAANTMON
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
c:\windows\system32\pnkbstra.exe=PnkBstrA
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RemoteRegistry
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\wdfmgr.exe=UMWdf
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: AlcoholAutomount="c:\programme\alcohol soft\alcohol 120\axcmd.exe" /automount
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKLM\Run: 36X Raid Configurer=c:\windows\system32\jmraidsetup.exe
000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe
000=HKLM\Run: avgnt="c:\programme\avira\antivir personaledition classic\avgnt.exe" /min
000=HKLM\Run: IAAnotif="c:\programme\intel\intel matrix storage manager\iaanotif.exe"
000=HKLM\Run: JMB36X IDE Setup=c:\windows\jm\jminside.exe
000=HKLM\Run: Logitech Hardware Abstraction Layer=c:\windows\khalmnpr.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\nvmctray.dll
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre1.6.0_02\bin\jusched.exe"
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\Hamachi\hamachi.exe=c:\programme\hamachi\hamachi.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\uTorrent\uTorrent.exe=c:\programme\utorrent\utorrent.exe
001=Firewall bypass: E:\Gamez\Empires Dawn of the Modern World\Empires_DMW.exe=e:\gamez\empires dawn of the modern world\empires_dmw.exe
001=Firewall bypass: E:\Gamez\Medal of Honor Airborne\UnrealEngine3\Binaries\MOHA.exe=e:\gamez\medal of honor airborne\unrealengine3\binaries\moha.exe
001=Firewall bypass: E:\Gamez\Steam\SteamApps\cob0l\counter-strike source\hl2.exe=e:\gamez\steam\steamapps\cob0l\counter-strike source\hl2.exe
001=Firewall bypass: E:\Gamez\Steam\SteamApps\cob0l\counter-strike\hl.exe=e:\gamez\steam\steamapps\cob0l\counter-strike\hl.exe
001=Firewall bypass: E:\Gamez\Steam\SteamApps\cob0l\Half-Life\hl.exe=e:\gamez\steam\steamapps\cob0l\half-life\hl.exe
001=Firewall bypass: E:\Gamez\Warcraft III\Warcraft III.exe=e:\gamez\warcraft iii\warcraft iii.exe
001=Firewall bypass: X:\Gamez\Battlefield 2\BF2.exe=x:\gamez\battlefield 2\bf2.exe
001=Firewall bypass: X:\Gamez\Battlefield 2142\BF2142.exe=x:\gamez\battlefield 2142\bf2142.exe
001=Firewall bypass: X:\Gamez\World in Conflict\wic.exe=x:\gamez\world in conflict\wic.exe
001=Firewall bypass: X:\Gamez\World in Conflict\wic_ds.exe=x:\gamez\world in conflict\wic_ds.exe
001=Firewall bypass: X:\Gamez\World in Conflict\wic_online.exe=x:\gamez\world in conflict\wic_online.exe
004=AntiVirus Disable Notify is ON (Default is OFF)
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=c:\programme\adobe\acrobat 7.0\activex\acroiehelper.dll (Adobe PDF Reader Link Helper)
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\spybot~1\sdhelper.dll (Spybot-S&D IE Protection)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre1.6.0_02\bin\ssv.dll (SSVHelper Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll


hoffe da steht jetz alles drin was nötig ist^^
is sosnt alles in ordnung mit meinem sstem?

mfg cobol

Alt 28.09.2007, 12:31   #8
undoreal
/// AVZ-Toolkit Guru
 
wdfmgr.exe - Standard

wdfmgr.exe



Na schön, das sieht schon besser aus.

Lasse nun bitte folgende Datei auf VT auswerten und poste das Ergebnis.
Bachte den Link aus meiner Signatur zum Suchen und Finden von Dateien.

" C:\WINDOWS\system32\wdfmgr.exe "

Gruß

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 28.09.2007, 12:52   #9
cobol
 
wdfmgr.exe - Standard

wdfmgr.exe



ok VT sagt folgendes dazu:

Datei wdfmgr.exe empfangen 2007.09.28 13:44:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/32 (3.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.28.1 2007.09.28 -
AntiVir 7.6.0.15 2007.09.28 -
Authentium 4.93.8 2007.09.28 -
Avast 4.7.1043.0 2007.09.28 -
AVG 7.5.0.488 2007.09.27 -
BitDefender 7.2 2007.09.28 -
CAT-QuickHeal 9.00 2007.09.27 -
ClamAV 0.91.2 2007.09.28 -
DrWeb 4.33 2007.09.28 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.28 -
FileAdvisor 1 2007.09.28 -
Fortinet 3.11.0.0 2007.09.28 -
F-Prot 4.3.2.48 2007.09.27 -
F-Secure 6.70.13030.0 2007.09.28 -
Ikarus T3.1.1.12 2007.09.28 -
Kaspersky 7.0.0.125 2007.09.28 -
McAfee 5129 2007.09.27 -
Microsoft 1.2803 2007.09.28 -
NOD32v2 2558 2007.09.28 -
Norman 5.80.02 2007.09.28 -
Panda 9.0.0.4 2007.09.28 -
Prevx1 V2 2007.09.28 Prevx Database Unreachable
Rising 19.42.42.00 2007.09.28 -
Sophos 4.21.0 2007.09.28 -
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.28 -
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.27 -
VirusBuster 4.3.26:9 2007.09.27 -
Webwasher-Gateway 6.0.1 2007.09.28 -
weitere Informationen
File size: 38912 bytes
MD5: ab0a7ca90d9e3d6a193905dc1715ded0
SHA1: 681ba7f162bf3799a49996529b587c9fa4b34247



kann es sein das die datei ihre daseins berechtigung hat und gar kein virus, trojaner oder sonst was ist?

mfg
cobol

Alt 28.09.2007, 13:02   #10
myrtille
/// TB-Ausbilder
 
wdfmgr.exe - Standard

wdfmgr.exe



Ja,
es dürfte sich um diese Datei handeln:
Windows User Mode Driver Framework

Die sollte sauber sein. Ob deswegen der Rechner sauber ist überlass ich dann wieder undo.

lg myrtille

EDIT: Hi undo!
spanisch? soso.
Die Datei liegt an der richtigen Stelle (system32) und hat auch die richtige Dienstbezeichnung, deswegen mein Segen.
Es ist keine Datei die permanent mitlaufen muss, ich vermute sie wird nicht automatisch gestartet, sondern von zb WMP aufgerufen und ist daher nur manchmal anwesend. Das würde zumindest erklären, warum sie bei HJT nicht in den Diensten auftaucht.
Aber lieber sicher gehen.

Geändert von myrtille (28.09.2007 um 13:10 Uhr)

Alt 28.09.2007, 13:03   #11
undoreal
/// AVZ-Toolkit Guru
 
wdfmgr.exe - Standard

wdfmgr.exe



Zitat:
kann es sein das die datei ihre daseins berechtigung hat und gar kein virus, trojaner oder sonst was ist?
ich kann mich irren aber ich denke nicht, dass die Datei harmlos ist..

Normalerweise sollte die nicht einfach so nebenher laufen. Und schon garnicht versteckt.

Packe die Datei bitte und belege sie mit dem Passwort: infected

Schicke sie dann an: support@kaspersky.de

Betreff: New Virus

Text: Passwort: infected Bitte um kurze Rückmeldung

Anhang: gepackte Datei

Gruß

Undoreal


EDIT: Hi myrti Das dachte ich auch aber mir kommt das alles spanisch vor.

PS:

Cobol magst du evtl. bitte den Widows-Media-Player10 deinstallieren. Dann wissen wir was los ist..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Geändert von undoreal (28.09.2007 um 13:09 Uhr)

Alt 28.09.2007, 21:03   #12
cobol
 
wdfmgr.exe - Standard

wdfmgr.exe



hallo myr und undo

werde den mediplayer mal deinstalleiren aber noch eine frage, sieht denn das hjt logfile und das iclean log soweit in ordnung aus oder habe ich sonst noch irgend n virus oder so aufm rechenr?

mfg cobol

Antwort

Themen zu wdfmgr.exe
adobe, antivir, avg, avira, bho, dll, excel, explorer, frage, helper, hijack, hijackthis, internet, internet explorer, monitor, nvidia, prozess, rundll, software, system, taskmanager, trojaner, vielen dank, virus, windows, windows xp



Ähnliche Themen: wdfmgr.exe


  1. Was ist wdfmgr.exe
    Plagegeister aller Art und deren Bekämpfung - 22.02.2009 (3)
  2. WDFMGR.exe
    Log-Analyse und Auswertung - 25.04.2007 (7)
  3. WDFMGR.exe oder SCHED.exe
    Plagegeister aller Art und deren Bekämpfung - 22.03.2006 (6)

Zum Thema wdfmgr.exe - Hallo alle zusammen, also mein prob ist das ich in meinem taskmanager einen prozess namens wdfmgr.exe laufen habe und nach eigenen suchem im internet wollte ich jetz dochmal fragen ob - wdfmgr.exe...
Archiv
Du betrachtest: wdfmgr.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.