|
WMIprvse.exe befallen? Moin! Ich habe manchmal diese Datei unter Verdacht, da sie eben manchmal an ist und manchmal nicht... kann mir einer sagen wann und wieso diese Datei sich startet? Die Datei habe ich nun auf VirusTotal analysieren lassen und sie befindet sich auch im gewohnten Pfad: HTML-Code: Pfad:C:\WINDOWS\system32\wbemIch gehe davon aus, dass es höchstwahrscheinlich ein Fehlalarm ist, da laut Google die Datei des Öfteren angemeckert wird würde aber doch gerne sicher gehen. Zudem befindet sich eine .dll Datei in dem Ordner namens "wmiprvsd.dll". Ist das der normale Name oder eine Deckung für einen Virus? hier noch ein HiJack-This-Log: HTML-Code: Logfile of Trend Micro HijackThis v2.0.2gruß |
Halli hallo. Was genau meinst du mit "mal ist sie an mal aus"? Meinst du sie wird als Prozess im Taskmanager angezeigt? Wenn dir das mal wieder auffällt, also die Datei läuft dann erstelle bitte in dem Moment ein HJT log. Außerdem klicke im Taskmanager mit rechts auf die Datei und wähle Dateipfad öffnen. Welcher Dateipfad ist das? Bei PrevX wird die Software als verdächtig eingestuft. Um das zu verfizieren brauche ich oben genannte Informationen. |
wie soll das gehen? wenn ich rechtsklicke dann kommt Prozess/-struktur beenden, Zugehörigkeit festlegen..., Priorität festlegen..., Debuggen. Ja sie wird eben manchmal angezeigt im Taskmanager (Prozesse) z.B. zu Beginn und auch wenn ich StreetFighter 4 starte (evtl. durch SecuROM) danke im Voraus, gruß |
Ähm... ich bin scheinbar so ein Vista Liebhaber geworden, dass ich den XP Taskmanager überschätzt habe.. =) Gibt es da keine Option um den Dateipfad auf zu rufen? Man man... Dann erstelle wenn sie im Taskmanager erscheint schnell ein HJT log. |
schon neu gestartet kam sie und ist auch gleich nach dem log weggewesen... hmm naja hier HTML-Code: Logfile of Trend Micro HijackThis v2.0.2danke, gruß |
habs nochmal gemacht aber sie wird ned im log vermerkt... Bild: http://download.ad-sims.de/log.bmp achja der Dienst ist bei mir als "manuell" eingestellt, gruß |
Welcher Dienst? Ich habe grade keine Lust meinen XP Hookie anzuschmeißen als versuche bitte dich etwas präziser aus zu drücken... ;) Starte bitte während der Prozess im Taskmanager zu sehen ist HJT über Start -> ausführen mit dem Command Zitat:
|
Beim Log erstellen kam folgende Meldung: HTML-Code: You have an particularly large amount of hijacked domains. It's probably better to delete the file itself then to fix each item (and create a backup). |
Log: HTML-Code: Logfile of Trend Micro HijackThis v2.0.2 |
HTML-Code: O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll |
HTML-Code: O23 - Service: Kryptografiedienste (CryptSvc) - Microsoft Corporation - C:\WINDOWS\system32\svchost.exedanke, gruß |
Du hast Spybot installiert oder? Bitte öffne das Programm, lasse alle Immunisierungen die es gemacht hat rückgängig machen und deinstalliere Spybot komplett. Räume danach mit dem cCleaner auf. Das verstehe ich jetzt überhaupt nicht mehr. Normalerweise tuach die WMIprvse.exe im ganz normalen HJT log auf. Sie sollte aber auf jeden Fall in dem erweiterten log auftauchen welches du grade gepostet hast. Aber auch dort ist sie nicht dabei. Und du bist sicher, dass sie die ganze Zeit über während das log erstellt wurde lief? Downloade dir bitte den Security Taskmanager und finde mit dem heraus in welchem Dateipfad die Datei liegt... |
ich habe Spybot deinstalliert aber schon vor längerem... wie bekomme ich die reste weg? gruß |
Lade dir HostsXpert herunter. Entpacke und starte das Prog mit einem Doppelklick auf die HostXpert.exe. - Klicke auf den Button "Make Writable". - Klicke auf den Button "Restore MS HostFile". - Versiegel die Host Datei wieder mit einem Klick auf "Make ReadOnly". Danach suche mit dem STmgr nach dem Dateipfad... |
dazu starte ich den pc mal neu, da die datei momentan nicht an ist. gruß |
denke das sieht ganz gut aus und danke dir! Die Adressen sind weg im neuen Log aber die Datei wird dennoch nicht angezeigt. Aber im SecurityTaskManager: http://download.ad-sims.de/task.bmp der Pfad ist der, der normal auch so sein sollte... dennoch verstehe ich nicht warum die Datei mal erscheint, mal nicht... Sie war gerade etwas länger an, beim letzten Neustart nur kurz. Beim Start von SF 4 geht sie an und bleibt konstant bis ichs aus habe (Windows Live evtl.). Stimmt ansonsten alles an meinem Log? Ich danke dir, gruß |
Das die ab und an mal anspringt ist absolut in Ordnung und da sie im richtigen Dateipfad läuft ist das kein Problem. Nach wie vor verstehe ich zwar nicht warum sie im HJT log nicht auftaucht aber man muss auch nicht alles verstehen.. ;) Jedenfalls sollte die Datei keine Gefährdung für deinen Rechner darstellen.. |
danke dir.Ist der Log aber ansonsten sauber? gruß |
Oh man. Jetzt weiss ich warum ich mich hier tot suche.. Du nase hast im Thread Titel den Dateinamen falsch buchstabiert! Es muss wmiapsrv.exe und nicht WMIprvse.exe heissen. :) Na da kann ich ja lange nach dem Eintrag suchen... |
nein die datei zheißt WMIprvse.exe aber zusätzlich befindet sich noch eine Datei im Ordner die so heißt wie du sagst... gruß |
O.k. Dann ist das eine der generische Prozess. Der taucht daher nicht im log auf. Musst dir aber keine Soren machen. Die sind beide in Ordnung. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board