Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   wdfmgr.exe (https://www.trojaner-board.de/43989-wdfmgr-exe.html)

cobol 27.09.2007 19:52
wdfmgr.exe
 
Hallo alle zusammen,

also mein prob ist das ich in meinem taskmanager einen prozess namens
wdfmgr.exe laufen habe und nach eigenen suchem im internet wollte ich jetz dochmal fragen ob ich da einen virus oder trojaner habe oder ob mein system clean ist.

hier erstmal n hijackthis logfile

Logfile of HijackThis v1.99.1
Scan saved at 20:48:10, on 27.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\uTorrent\uTorrent.exe
F:\Downloads\Core Temp.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\Progz n' Patches\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

schon einmal vielen dank an die leute die sich mein logfile mal anschauen und mich hoffentlich beruhigen können, dass mein system clean ist und nicht infiziert wurde.

mfg
cobol

undoreal 27.09.2007 20:09
Hallo cobol.

Deine Problembeschreibungun dein HJT log passen nicht zueinander. Das kann mehrere Gründe haben :teufel3:

Hier:
Zitat:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\uTorrent\uTorrent.exe
F:\Downloads\Core Temp.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\Progz n' Patches\HiJackThis\HijackThis.exe
findet sich keine wdfmgr.exe.

Hast du den Prozess vorher beendet? Erstelle bitte ein neues HJT log während der Prozess wdfmgr.exe, im Taskmangaer angezeigt läuft.

Gruß

Undoreal

cobol 27.09.2007 20:19
Also ich hab das hjt log gemacht whärend der prozess lief.
Hier ist das neue HJT logfile und der prozess leif auch whärend der erstellung


Logfile of HijackThis v1.99.1
Scan saved at 21:16:50, on 27.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\uTorrent\uTorrent.exe
F:\Downloads\Core Temp.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\taskmgr.exe
F:\Progz n' Patches\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

ist denn mein HJT logfile eigentlich sonst soweit ok oder ist da irgendwie sonst noch was vorhanden?

mfg cobol

undoreal 27.09.2007 20:27
O.k. dann musst du definitiv etwas ändern.. :)

Schmeiße bitte HJT und alles was damit zu tun hat vom Rechner.

Dann erstellst du nach folgender Anleitung ein neues log.


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken

Gruß

Undoreal

cobol 27.09.2007 20:36
Hallo Undoreal

hab das jetz so gemacht wie du gesagt hast und hier is das neue HJT logfile.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:33:51, on 27.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\uTorrent\uTorrent.exe
F:\Downloads\Core Temp.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\Progz n' Patches\This.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 4632 bytes


aber mal so nebenbei, abgesehen von diesem wdfmgr ding, ist denn sonst mein logfile sauber oder nich?

vielen dank für deine hilfe

mfg
cobol

undoreal 28.09.2007 12:17
Das ist doch ext zum Mäuse melken..

Ich glaub's nicht so ganz.. ^^

Fertige mal bitte einen iClean Bericht an.(Prog in eigenem Ordner öffnen->"Yes"->File->Report).

lg

Undo

cobol 28.09.2007 12:28
Hallo Undo

so hier is die logfile von iclean:

clean log 28.09.2007 13:25:56

Windows XP SP2, Using advanced Kernel functions

Processes
---------
808 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
868 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
896 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
940 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
952 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1112 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1196 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1548 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1664 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1808 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2036 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
564 - C:\WINDOWS\Explorer.EXE - Windows Explorer
704 - C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe - Event Monitor User Notification Tool (Signed)
732 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
768 - C:\WINDOWS\system32\RUNDLL32.EXE - Eine DLL-Datei als Anwendung ausführen
796 - C:\Programme\Java\jre1.6.0_02\bin\jusched.exe - Java(TM) Platform SE binary (Signed)
816 - C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool
844 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
876 - C:\Programme\Logitech\SetPoint\SetPoint.exe - Logitech SetPoint Event Manager
1020 - C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE - Logitech KHAL Main Process
1408 - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler
1452 - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe - RAID Monitor (Signed)
1476 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 158.19
1500 - C:\WINDOWS\system32\PnkBstrA.exe - C:\WINDOWS\system32\PnkBstrA.exe (Signed)
2000 - C:\WINDOWS\system32\wdfmgr.exe - Windows User Mode Driver Manager
340 - C:\Programme\ICQ6\ICQ.exe - ICQ Library (Signed)
2304 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
3452 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
3632 - C:\Programme\uTorrent\uTorrent.exe - C:\Programme\uTorrent\uTorrent.exe (Signed)
4028 - C:\WINDOWS\system32\wuauclt.exe - Windows Update Automatic Updates (Signed)
1980 - C:\WINDOWS\System32\wbem\wmiprvse.exe - WMI
352 - F:\Downloads\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\avira\antivir personaledition classic\sched.exe=AntiVirScheduler
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
c:\programme\intel\intel matrix storage manager\iaantmon.exe=IAANTMON
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
c:\windows\system32\pnkbstra.exe=PnkBstrA
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RemoteRegistry
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\wdfmgr.exe=UMWdf
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: AlcoholAutomount="c:\programme\alcohol soft\alcohol 120\axcmd.exe" /automount
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKLM\Run: 36X Raid Configurer=c:\windows\system32\jmraidsetup.exe
000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe
000=HKLM\Run: avgnt="c:\programme\avira\antivir personaledition classic\avgnt.exe" /min
000=HKLM\Run: IAAnotif="c:\programme\intel\intel matrix storage manager\iaanotif.exe"
000=HKLM\Run: JMB36X IDE Setup=c:\windows\jm\jminside.exe
000=HKLM\Run: Logitech Hardware Abstraction Layer=c:\windows\khalmnpr.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\nvmctray.dll
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre1.6.0_02\bin\jusched.exe"
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\Hamachi\hamachi.exe=c:\programme\hamachi\hamachi.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\uTorrent\uTorrent.exe=c:\programme\utorrent\utorrent.exe
001=Firewall bypass: E:\Gamez\Empires Dawn of the Modern World\Empires_DMW.exe=e:\gamez\empires dawn of the modern world\empires_dmw.exe
001=Firewall bypass: E:\Gamez\Medal of Honor Airborne\UnrealEngine3\Binaries\MOHA.exe=e:\gamez\medal of honor airborne\unrealengine3\binaries\moha.exe
001=Firewall bypass: E:\Gamez\Steam\SteamApps\cob0l\counter-strike source\hl2.exe=e:\gamez\steam\steamapps\cob0l\counter-strike source\hl2.exe
001=Firewall bypass: E:\Gamez\Steam\SteamApps\cob0l\counter-strike\hl.exe=e:\gamez\steam\steamapps\cob0l\counter-strike\hl.exe
001=Firewall bypass: E:\Gamez\Steam\SteamApps\cob0l\Half-Life\hl.exe=e:\gamez\steam\steamapps\cob0l\half-life\hl.exe
001=Firewall bypass: E:\Gamez\Warcraft III\Warcraft III.exe=e:\gamez\warcraft iii\warcraft iii.exe
001=Firewall bypass: X:\Gamez\Battlefield 2\BF2.exe=x:\gamez\battlefield 2\bf2.exe
001=Firewall bypass: X:\Gamez\Battlefield 2142\BF2142.exe=x:\gamez\battlefield 2142\bf2142.exe
001=Firewall bypass: X:\Gamez\World in Conflict\wic.exe=x:\gamez\world in conflict\wic.exe
001=Firewall bypass: X:\Gamez\World in Conflict\wic_ds.exe=x:\gamez\world in conflict\wic_ds.exe
001=Firewall bypass: X:\Gamez\World in Conflict\wic_online.exe=x:\gamez\world in conflict\wic_online.exe
004=AntiVirus Disable Notify is ON (Default is OFF)
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=c:\programme\adobe\acrobat 7.0\activex\acroiehelper.dll (Adobe PDF Reader Link Helper)
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\spybot~1\sdhelper.dll (Spybot-S&D IE Protection)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre1.6.0_02\bin\ssv.dll (SSVHelper Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll


hoffe da steht jetz alles drin was nötig ist^^
is sosnt alles in ordnung mit meinem sstem?

mfg cobol

undoreal 28.09.2007 12:31
Na schön, das sieht schon besser aus.

Lasse nun bitte folgende Datei auf VT auswerten und poste das Ergebnis.
Bachte den Link aus meiner Signatur zum Suchen und Finden von Dateien.

" C:\WINDOWS\system32\wdfmgr.exe "

Gruß

Undoreal

cobol 28.09.2007 12:52
ok VT sagt folgendes dazu:

Datei wdfmgr.exe empfangen 2007.09.28 13:44:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/32 (3.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.28.1 2007.09.28 -
AntiVir 7.6.0.15 2007.09.28 -
Authentium 4.93.8 2007.09.28 -
Avast 4.7.1043.0 2007.09.28 -
AVG 7.5.0.488 2007.09.27 -
BitDefender 7.2 2007.09.28 -
CAT-QuickHeal 9.00 2007.09.27 -
ClamAV 0.91.2 2007.09.28 -
DrWeb 4.33 2007.09.28 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.28 -
FileAdvisor 1 2007.09.28 -
Fortinet 3.11.0.0 2007.09.28 -
F-Prot 4.3.2.48 2007.09.27 -
F-Secure 6.70.13030.0 2007.09.28 -
Ikarus T3.1.1.12 2007.09.28 -
Kaspersky 7.0.0.125 2007.09.28 -
McAfee 5129 2007.09.27 -
Microsoft 1.2803 2007.09.28 -
NOD32v2 2558 2007.09.28 -
Norman 5.80.02 2007.09.28 -
Panda 9.0.0.4 2007.09.28 -
Prevx1 V2 2007.09.28 Prevx Database Unreachable
Rising 19.42.42.00 2007.09.28 -
Sophos 4.21.0 2007.09.28 -
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.28 -
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.27 -
VirusBuster 4.3.26:9 2007.09.27 -
Webwasher-Gateway 6.0.1 2007.09.28 -
weitere Informationen
File size: 38912 bytes
MD5: ab0a7ca90d9e3d6a193905dc1715ded0
SHA1: 681ba7f162bf3799a49996529b587c9fa4b34247



kann es sein das die datei ihre daseins berechtigung hat und gar kein virus, trojaner oder sonst was ist?

mfg
cobol

myrtille 28.09.2007 13:02
Ja,
es dürfte sich um diese Datei handeln:
Windows User Mode Driver Framework

Die sollte sauber sein. Ob deswegen der Rechner sauber ist überlass ich dann wieder undo. ;)

lg myrtille

EDIT: Hi undo! :)
spanisch? soso. :p
Die Datei liegt an der richtigen Stelle (system32) und hat auch die richtige Dienstbezeichnung, deswegen mein Segen. ;)
Es ist keine Datei die permanent mitlaufen muss, ich vermute sie wird nicht automatisch gestartet, sondern von zb WMP aufgerufen und ist daher nur manchmal anwesend. Das würde zumindest erklären, warum sie bei HJT nicht in den Diensten auftaucht.
Aber lieber sicher gehen. :)

undoreal 28.09.2007 13:03
Zitat:
kann es sein das die datei ihre daseins berechtigung hat und gar kein virus, trojaner oder sonst was ist?
ich kann mich irren aber ich denke nicht, dass die Datei harmlos ist..

Normalerweise sollte die nicht einfach so nebenher laufen. Und schon garnicht versteckt.

Packe die Datei bitte und belege sie mit dem Passwort: infected

Schicke sie dann an: support@kaspersky.de

Betreff: New Virus

Text: Passwort: infected Bitte um kurze Rückmeldung

Anhang: gepackte Datei

Gruß

Undoreal


EDIT: Hi myrti :party: Das dachte ich auch aber mir kommt das alles spanisch vor.

PS:

Cobol magst du evtl. bitte den Widows-Media-Player10 deinstallieren. Dann wissen wir was los ist..

cobol 28.09.2007 21:03
hallo myr und undo

werde den mediplayer mal deinstalleiren aber noch eine frage, sieht denn das hjt logfile und das iclean log soweit in ordnung aus oder habe ich sonst noch irgend n virus oder so aufm rechenr?

mfg cobol


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:52 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129