WmiPrvSE.exe Änderungen an Arbeitsspeicher nach Mailanhang Liste der Anhänge anzeigen (Anzahl: 2) Guten Abend zusammen, ich wende mich voller Verzweifelung an die Experten dieses Forums, nachdem ich bereits ein paar der oben genannten Regeln, dumm wie ich war, gebrochen habe. Nach mehreren Virenscannern weiß ich keinen Rat mehr. Die ganze Geschichte: Am 11.09.2018 bekam ich eine Mail von meinem Schwiegervater. Da wir an diesem Tag bereits mehrfach Bilder via Whatsapp bekommen hatten, klickte ich unachtsam auf den Link in dieser Mail. Ich wunderte mich leider zu spät das sich diese im Spamordner von gmx befand. (den Link kann ich weitergeben, wollte aber andere davor bewahren hier draufzuklicken, weswegen ich ihn hier nicht poste). Nachdem der Browser ca 10 Sekunden nichts als eine weiße Seite anzeigte, dämmerte es mir und ich zog den Netzwerkstecker. Ich scannte das System mit dem Windows 10 Defender was erfolglos blieb. Nach kurzem aufatmen und dem Einstecken des Netzwerksteckers meldete der Echtzeitschutz, das eine nicht autorisierte Änderung blockiert wurde. (Siehe Anhang Bild 1) Der 11. und 12. September war daraufhin dadurch geprägt, das ich folgende Antivirensoftware lud: Malwarebytes = ein paar Trackingcookies gefunden Antivir Pro = ein paar Trackingcookies gefunden Nachdem ich mich in laienhafter Weise etwas schlauer gemacht hatte, suchte ich nach *WmiPrvSE* und entdeckte im Windows Prefetch Ordner die beiden Dateien welche ich im Anhang Bild 2 hochgeladen habe. Hier vermutlich ein weiterer Fehler von mir, ich löschte die Dateien. Danach versuchte ich mein Glück mit: Norten Internet Security = Nichts gefunden Bitdefender = einen Trojaner in einem alten Minecraftmod gefunden Bis einschließlich Norten kamen die Meldungen von Anhangbild 1. Bei Bitdefender war Ruhe. Allerdings war meine Freude nur von kurzer Dauer als ich bemerkte, dass Bitdefender scheinbar den Speicher nicht überwacht. Ich zog erneut den Stecker... Vielleicht ist es auch Nichts und ich bin nur paranoid, jedoch traue ich mich grade nicht mehr meinen Rechner zu starten. |
Dass ist eine ganz normale Windowsdatei. Warum löschst du einfach Bestandteile deines Betriebssystems? |
Ich habe von der Datei erstmals nach dem Klicken des Emaillinks gelesen. Und zwar vom Defender, welcher einen unerlaubten Speicherzugriffsversuch von dieser Datei meldete. Als ich später danach suchte fand ich im prefetch Ordner von Windows die beiden oberen Dateien auf dem Bild2. Ich habe lediglich diese gelöscht. Auf die anderen vier habe ich auch keinen Zugriff. Die gelöschten Dateien in diesem Ordner hatten das gleiche Datum und Uhrzeit wie mein Emailvorfall. (11.09.2018) Als ich danach gegoogelt hab stand dort, dass es sich um potentielle Gefahren handelt wenn es nicht die datei ist die sich \Windows\System32\wbem befindet. Aber wenn du mir jetzt sagst das ich mir keine Sorgen machen muss dann beruhigt mich das und ich ignoriere die Meldung in Zukunft einfach. |
Im Prefetch-Ordner befinden sich Abbilder von Dateien, die Wndows häufig zum Starten braucht. Dass WmiPrvSE veränderungen am Arbeitsspeicher macht ist normal, ebenso, wie die Dateien bei jedem neuen Start sich im Prefetch-Ordner befinden. Gut, dass es immer noch die Funktion gibt, dass Windows sich an seinen Dateien nicht einfach rumlöschen lässt, sonst hätten bestimmt mindestens die Hälfte aller PC-Benutzer irgendwann durch unüberlegtes Handeln ein zerschossenes Betriebssystem. Du kannst mal FRST laufen lassen und die Logs hier posten, zu deiner Absicherung, dazu musst du natürlich den Rechner anmachen, ins Internet und dir das runterladen. Natürlich könntest du das ganze auch offline machen, wenn dir das sicherer erscheint (ist dann aber umständlicher). Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
|
Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 09.09.2018 |
Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 09.09.2018 |
Sieht sehr sauber aus. Hast du noch Fragen? |
Ich habe keine weiteren Fragen. Ich danke Dir für deine Hilfe. Auch wenns jetzt eher für meine Seele war wie es aussieht :-) |
Aber dafür war das dann doch auch gut. :) Dann entlasse ich dich hiermit. :D |
Alle Zeitangaben in WEZ +1. Es ist jetzt 16:42 Uhr. |
Copyright ©2000-2024, Trojaner-Board