Hallo,

ich hoffe auf Eure Hilfe! Hatte mit meinem XP-System in letzter Zeit immer wieder Fehlermeldungen zu WMI. Habe dann WMIDiag von Microsoft runtergeladen, gestartet und damit wohl "das Böse" aktiviert...

Jedes Mal, wenn ich jetzt ein Programm ausführen möchten, poppt nur kurz eine Shell auf und schliesst sich wieder. Das war's. Beim googeln stieß ich auf den Tipp, die Datei cscript.exe zu löschen - doch schwups, ist sie wieder da. Auch laufen die unterschiedlichsten, immer wieder andere Prozesse und wenn ich einen von ihnen lösche, erscheint ein anderer Prozess.

Der Rechner ist vom Netz, AVScanner kann ich nicht starten und auch sonst geht ausser dem Explorer nichts. Habe die Dateizuweisungen überprüft, aber auch die sind weg - beim neuen Zuweisen scheitert es daran, dass ich ja nichts ausführen kann. Die rundll32.exe war gelöscht, ein reinkopieren hat auch nicht geholfen.

Ein Lichtblick: Die anderen Daten sind alle noch auf der Festplatte (wenn auch eventuell verseucht...).

Hat jemand einen Tipp? Vorab vielen Dank!!!

Hallöle Schmittbauer

http://www.trojaner-board.de/69886-a...-beachten.html

Zusätzlich erläutere uns bitte was genau du ausgeführt hast und von wo du es geladen hast:

Zitat:

Habe dann WMIDiag von Microsoft runtergeladen

Außerdem müssten wir die Fehlermdungen genauer kennen:

Zitat:

Hatte mit meinem XP-System in letzter Zeit immer wieder Fehlermeldungen zu WM

Danke für die Begrüßung...

Hier noch nähere Infos:

- Ich habe die gute Einführung zu Trojaner-Board gelesen - kann aber leider keine der angegebenen Hilfen und Programme starten - das läßt mein System ja nicht zu.

- Ich habe das Programm WMIDiag von der offiziellen MS-Support-Seite geladen (sah jedenfalls so aus). Ich habe folgende Datei ausgeführt WMIDiag.vbs. Um die Ergebnisse in einer Shell zu sehen, sollte ich cscript.exe //H:cscript eingeben, was ich auch gemacht habe.

- Die Fehlermeldung lautet: "WMI hat ein Problem festgestellt und muss beendet werden". Bei den Details finde ich noch die Info, dass der szAppName: wmiprvse.exe ist - was auch immer das heisst. Im Problembericht steht dann im \Temp\WER6886.dir00\wmiprvse.exe.mdmp und \Temp\WER6886.dir00\appcompat.txt

Braucht ihr noch weitere Infos?

Vielen Dank!

Hast du das Programm noch?

Zitat:

Programm WMIDiag

Wenn ja dann lade es bitte bei Virustotal.com hoch und poste das komplette Ergebnis.

Es wäre hilfreich wenn du noch genau wüsstest welche Seite es war von der du gedownloaded hast..

Das Ganze hört sich aber erstmal nicht nach einem Schädling an... Gucken wir mal.

Viel hat sich getan... und es scheint ein Schädling zu sein!

1. Hier der Link zu der Seite, wo ich WMIDiag.vbs bzw .exe als zip her habe:
ht**://**w.microsoft.com/downloads/details.aspx?FamilyID=d7ba3cd6-18d1-4d05-b11e-4c64192ae97d&displaylang=en

***********************************************

2. Hier das Ergebnis der Analyse:

Die Datei wurde bereits analysiert:
MD5: f5085da17c72b3f2aaeaea7a87fc9c8a
First received: 2008.12.29 01:46:05 (CET)
Datum 2008.12.29 01:45:59 (CET) [>78D]
Ergebnisse 1/39
Permalink: analisis/7309db3e9b220e5106853dbb4e252f93


Datei WMIDiag.vbs empfangen 2008.12.29 01:45:12 (CET)
Status: Beendet

Ergebnis: 1/39 (2.56%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2008.12.29 -
AhnLab-V3 2008.12.25.0 2008.12.27 -
AntiVir 7.9.0.45 2008.12.28 -
Authentium 5.1.0.4 2008.12.28 -
Avast 4.8.1281.0 2008.12.28 -
AVG 8.0.0.199 2008.12.28 -
BitDefender 7.2 2008.12.29 -
CAT-QuickHeal 10.00 2008.12.27 -
ClamAV 0.94.1 2008.12.28 -
Comodo 834 2008.12.28 -
DrWeb 4.44.0.09170 2008.12.29 -
eSafe 7.0.17.0 2008.12.28 VBS.Happy.
eTrust-Vet 31.6.6279 2008.12.28 -
Ewido 4.0 2008.12.28 -
F-Prot 4.4.4.56 2008.12.28 -
F-Secure 8.0.14332.0 2008.12.28 -
Fortinet 3.117.0.0 2008.12.28 -
GData 19 2008.12.29 -
Ikarus T3.1.1.45.0 2008.12.29 -
K7AntiVirus 7.10.568 2008.12.27 -
Kaspersky 7.0.0.125 2008.12.29 -
McAfee 5477 2008.12.28 -
McAfee+Artemis 5477 2008.12.28 -
Microsoft 1.4205 2008.12.28 -
NOD32 3719 2008.12.27 -
Norman 5.80.02 2008.12.26 -
Panda 9.0.0.4 2008.12.28 -
PCTools 4.4.2.0 2008.12.28 -
Prevx1 V2 2008.12.29 -
Rising 21.09.62.00 2008.12.28 -
SecureWeb-Gateway 6.7.6 2008.12.29 -
Sophos 4.37.0 2008.12.28 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2008.12.29 -
TheHacker 6.3.1.4.201 2008.12.28 -
TrendMicro 8.700.0.1004 2008.12.26 -
VBA32 3.12.8.10 2008.12.28 -
ViRobot 2008.12.26.1536 2008.12.26 -
VirusBuster 4.5.11.0 2008.12.28 -
weitere Informationen
File size: 4345133 bytes
MD5...: f5085da17c72b3f2aaeaea7a87fc9c8a
SHA1..: fae8fa3c794bc729326311202b0835447f1f8379
SHA256: 3621be3680f92d4015e6a62df29bd8e5dc36a05fe740afb19aa1478868cfa1d8
SHA512: 7f6fce2ddd33a6bed8145be2428f750351dd823cccfc9287c1bb85a1cbec5fed
75d509566c58fae5ffd37433c5fb43fd8c4305273e9b2438f584f2f00ff5d2f0

ssdeep: 6144:xmJm21WtR8ZQBgGkjY8t5tQPHgz5tQPHgf5tQPHgp5tQPHg1VR+v3uSVYVV
R+v3Y:e1WH8ZQBgGkDCkxCISBNuSQ

PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

******************************************************

3. Ich habe mal so lange auf ein Programm geklickt (kam mir vor wie früher bei SummeGames), bis die kurz aufpoppende Shell stehen blieb. Folgende Meldung wurde angezeigt:

C:\Windows\System32\CScript.exe
Microsoft (R) Windows Script Host, Version 5.6
Copyright blabla
Eingabefehler: Für die Dateierweiterung ".exe" gibt es kein Scriptmodul.

********************************************************

4. Habe mein Festplatte mit AntiVir überprüft (rechte Maustaste im Explorer, dann "Ausgewählte Dateien mit AntiVir überprüfen". Ergebnis: 16 Warnungen, keine Funde.

*****************************************************+

5. Plötzlich taucht, ohne das ich was am Rechner mache, eine Meldung von AntiVir mit Tronjaner-Fund auf:

c:\System Volume Information\...\A0015370.dll
Ist das Trojanische Pferd TR/Agent.64512

Habe ich gelöscht, keine Beschwerde vom Programm. ABER! Kurze Zeit später der nächste Fund, Rechner wieder nicht in aktiver Benutzung:

c:\Dokumente und Einstellungen\pcadmin\...\3fa5e0261.dll
Ist das Trojanische Pferd TR/Agent.btxi

Auch das gelöscht, doch dann kommt mal wieder:

c:\System Volume Information\...\A0031030.dll
Ist das Trojanische Pferd TR/Agent.btxi

und

c:\Dokumente und Einstellungen\pcadmin\...\3fa5e0262.tmp
Ist das Trojanische Pferd TR/Agent.btxi

Sie lassen sich immer löschen... und kommen doch wieder, wie

c:\Dokumente und Einstellungen\pcadmin\...\3fa5e0261.dll
Ist das Trojanische Pferd TR/Agent.btxi

***************************************************

Soviel von meinem Sytem! Hilft dir/euch das weiter? Wäre toll!!!

P.S.: Die Daten (docs etc.) sind ja noch da und kann ich auch auf z. B. eine extrerne Festplatte kopieren - doch verseuche ich mir mit denen auch den nächsten Rechner, wo ich die Daten aufrufe?

Mittlereweile ist er auch hier gelandet:

c:\WINDOWS\system32\config\systemprofile\...\3fa5e0261.dll
Ist das Trojanische Pferd TR/Agent.btxi