Trojaner-Board - Wmiprvse.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Wmiprvse.exe (https://www.trojaner-board.de/16524-wmiprvse-exe.html)

Hallo zusammen,

seit einigen Tagen öffnet sich beim Windows-Start im Taskmanager die Datei wmiprvse.exe. Manchmal sogar 2 mal(SYSTEM/NETZWERKDIENST).
Also ich hab schon Ad-Aware und NOD32 durchlaufen lassen, haben aber nichts ungwöhnliches gefunden.
Beim Versuch die Datei im sytem32/wbem Ordner zu löschen, taucht sie trotzdem sekunden später wieder auf.
Seltsam, ausser diesem Prozess ist nichts dazugekommen(sonst hätte ich ja vermutet dass es ein Trojaner ist).
Kann mir da vielleicht einer weiterhelfen, z.B. dass sich der Prozess beim Windows-Start nicht öffnet?

Vielen Dank!!!

Gruß volliwood

Hallo volliwood,

poste bitte ein Hijackthis-Logfile
Anleitung
Persönliche Daten bitte unkenntlich machen

dartus

@volliwood

Zitat:

Die Datei "wmiprvse.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei wmiprvse.exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z.B. mit Security Task Manager.

;).

Zitat:

W32/Sonebot-B legt eine Kopie von sich mit dem Dateinamen WMIPRVSE.EXE im Windows-System32-Ordner ab

Hoffentlich nicht das.

dartus

Logfile of HijackThis v1.99.1
Scan saved at 12:32:36, on 11.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.xxxxx)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\hijackthis\1_99_1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {xxxxxxxxxxxxxxxxx-7xxxxxxxxxxx0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {xxxxxxxxxxxxxx-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {xxxxxxxxxxx41C8-xxxxxxxxxx} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {xxxxxxxxxxxxxxxxxxxxxxxxxxxx} (RdxIE Class) - http://software-dl.real.com/147799xx...dxIE601_de.cab
O16 - DPF: {xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...xxxxxxxxxxxxxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{xxxxxxxFB61-xxx2-8xx4-C302F763FF85}: NameServer = 217.xxx.xxx.97 xxx.xxx.149.xxxx
O18 - Protocol: haufereader - {39198710-xxxx-xxxx-xxxxxx9xx43xxxxxx} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Komischerweise taucht die datei wmiprvse.exe gar nicht auf, aber im Task-Manager wird er angezeigt.

Ich glaub da muss ich wohl Windows XP neu installieren?

Hallo volliwood,

Dein Logfile sieht meines Erachtens sauber aus.
Lass die Datei hier online scannen:
http://virusscan.jotti.org/de
Wenn nichts gefunden wurde, ist alles im grünen Bereich.

dartus

@volliwood
überprüfe dein system erstmal mit escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

escan hat nichts gefunden, ich glaub langsam nicht mehr daran das es ein Virus ist.
Bloss möchte ich gerne wissen warum sich die wmiprvse.exe öffnet(schliesst sich zwar nach fünf minuten alleine), hat sie vorher ja auch nicht gemacht.
Wozu dient die Datei denn?

gruß volliwood

Hallo volliwood,

hast Du schon mal google zu Rate gezogen?

dartus

wmiprvse gehört zur Windows Management Instrumentation. es ist eine objektschnittstelle für programme (so nenne ich das jedenfalls)
sie wird aber auch für die optimierung von windows xp verwendet (prefetcher der dazu verwendet wird, applikationen so zu zu "alignen" (anordnen), dass sie schneller in den speicher geladen werden)

Vielen lieben Dank für Eure Hilfe. :knuddel:
Ich glaub auch Dank Chris14 warum sich die Datei seit kurzem öffnet, hab nämlich FastDefrag installiert(welches ja für die Optimierung von Win XP sorgt).
Hab das Programm zwar wieder deinstalliert hat vermutlich aber irgendwelche Einstellungen übernommen, dass die Datei(wmiprvse.exe) öffnen lässt.

Gruß volliwood

Guten Tag,

Ich habe ein Problem und zwar beim spielen von Lineage 2.
Während ich spiel holt mich jede Minute eine Fehlermeldung über wmiprvse.exe
raus aus dem Vollbildmodus und verlangt, dass ich auf OK drücke.
Nun zu meiner Frage: Wie reparier ich das?
Und ist diese wmiprvse.exe sehr wichtig?

Ich muss dazu sagen ich hatte davor die Spyware "yourprivacyguard" drauf und hab eigens versucht diese rauszubekommen. Hab es auch geschafft musste aber die Dateien hostctrl.dll und hstsys.dll löschen.

Betriebssystem: Windows XP
Computer: Pentium 4 - 2,6 GHz - 512 MB RAM
Grafikkarte: GeCube ATI Radeon X1950 Pro

Ich hoffe mir kann einer von euch helfen
und ich bedanke mich schon im voraus für die Mühe.

Edit: Zusatz: Die Datei wmiprvse.exe befindet sich bei mir im Ordner C:\WINDOWS\system32\wbem .
Das sage ich dazu, weil ich in anderen Foren gelesen habe, dass sie wenn sie sich nicht dort befindet unter anderem ein Virus oder Trojaner sein könnte.

Falls es noch jemand interessiert ich habe bei meiner freundin auf dem pc die selbe datei (Wmiprvse.exe) als seltsam erachtet und bei Virustotal abgecheckt und was war der fund?

McAfee-GW-Edition 6.7.6 2009.03.15 Win32.LooksLike.Virut

Dazu sei gesagt das sich die datei auch dort befindet C:\WINDOWS\system32\wbem

habe leider noch nichts im googel web gefunden...
freue mich aber trotzdem auf jede antwort zu diesem etwas ältere thema.
Weil gut kann das ja nicht sein und ahnung wie man es loswerden kann hab ich nicht.

Schonmal danke für die hilfe...
Ben