|
Plagegeister aller Art und deren Bekämpfung: WDFMGR.exe oder SCHED.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.03.2006, 11:28 | #1 |
| WDFMGR.exe oder SCHED.exe Hallo, nach meinen google recherchen sind beide ungefährlich, aber wenn beide an sind, reißt es mir immer die internetverbindung weg (ich habe isdn). Also, wenn da jemand eine idee hat, welcher virus das sein könnte?! Ich habe letztens ne mail bekommen, wo einer drin war, aber antivir hat den eigentlich ausgemerzt, sowas habe ich noch nie gesehen..die mail hatte nicht mal einen anhang, trotzdem war sie vervirt - und das mir - wo ich die letzten 2 jahre keinen virus mehr gehabt habe Wie dem auch sei, ich hoffe, mir kann geholfen werden |
20.03.2006, 11:31 | #2 |
| WDFMGR.exe oder SCHED.exe Servus!
__________________Wenn Du dir bei einer (oder mehreren) Datei/en unsicher bist, hast Du die Möglichkeit, diese bei Jotti und/oder virustotal checken zu lassen. Achte dabei immer auf die genaue Schreibweise und den genauen Pfad der fragwürdigen Datei/en. Vorteil ist dabei, dass dort Deine Datei/en nicht nur von einer einzelnen Engine geprüft werden. stupormundi
__________________ |
20.03.2006, 11:31 | #3 |
| WDFMGR.exe oder SCHED.exe Hallo,
__________________ein HJT logfile nach Anleitung in meiner Sigantur wäre nicht schlecht um zu sehen ob auch wirklich alles ok ist??
__________________ |
20.03.2006, 16:44 | #4 |
| WDFMGR.exe oder SCHED.exe Die on demand scanner haben alle nichts gefunden, hier noch das log file..BTW: ich hab mich hier noch umgeschaut, scheinbar gibt's das problem bei anderen auch..ein neuer wurm? Logfile of HijackThis v1.99.1 Scan saved at 16:37:39, on 20.03.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\System32\Ati2evxx.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\TGTSoft\StyleXP\StyleXPService.exe E:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\WINDOWS\System32\drivers\CDAC11BA.EXE E:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE E:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Borland\InterBase\bin\ibguard.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\System32\UAService7.exe E:\WINDOWS\system32\ZoneLabs\vsmon.exe E:\WINDOWS\system32\Ati2evxx.exe E:\WINDOWS\Explorer.EXE E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe E:\Programme\Google\Google Talk\googletalk.exe E:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\ComCenter\IWatch.exe E:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Borland\InterBase\bin\ibserver.exe C:\Programme\Oleco\_oleco.exe E:\WINDOWS\System32\taskmgr.exe C:\Programme\Foxmail\Foxmail.exe C:\PROGRA~1\FIREFOX.EXE C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\Programme\Winamp\winamp.exe E:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Guppy-Mails.com - {80B63DB6-C473-46a4-B1B8-36C5A264E5CC} - E:\Programme\Internet Explorer\PLUGINS\toolbar8670509.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [googletalk] "E:\Programme\Google\Google Talk\googletalk.exe" /autostart O4 - HKCU\..\Run: [STYLEXP] E:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = E:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe O4 - Global Startup: VIA RAID TOOL.lnk = E:\Programme\VIA\RAID\raid_tool.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\System32\msjava.dll O9 - Extra button: MP3 - {1537E842-0000-11D2-8059-111111111111} - E:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: &WinMp3Locator - {1537E842-0000-11D2-8059-111111111111} - E:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Files - {1537E842-0001-11D2-8059-111111111111} - E:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: &FileLocator - {1537E842-0001-11D2-8059-111111111111} - E:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Guppy-Mails.com - {B9E4C56E-79F4-4f91-B589-E8C4DE9DA68B} - E:\Programme\Internet Explorer\PLUGINS\toolbar8670509.dll O9 - Extra 'Tools' menuitem: Guppy-Mails.com - {B9E4C56E-79F4-4f91-B589-E8C4DE9DA68B} - E:\Programme\Internet Explorer\PLUGINS\toolbar8670509.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: E:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{720DAF97-7E76-4110-A97D-808891964035}: NameServer = 192.168.121.252,192.168.121.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{9503BB04-D753-4D05-BC0E-19D5BF67C7C9}: NameServer = 62.104.191.241 62.104.196.134 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Adobe LM Service - Unknown owner - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe O23 - Service: C-DillaCdaC11BA - Macrovision - E:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: C-DillaSrv - C-Dilla Ltd - E:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - E:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - E:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\Programme\iPod\bin\iPodService.exe O23 - Service: netconf32 - Unknown owner - E:\WINDOWS\netconf32.exe (file missing) O23 - Service: Srv32 - Unknown owner - E:\WINDOWS\system32\srv32.exe (file missing) O23 - Service: StyleXPService - Unknown owner - E:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - E:\WINDOWS\System32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe |
21.03.2006, 13:08 | #5 |
| WDFMGR.exe oder SCHED.exe Servus, golem! Deine Probleme kommen nicht von ungefähr. In Deinem Log sehe ich ad hoc die Reste von min. 2 sog. Backdoor-Trojanern. Da ist davon auszugehen, dass bei der von Dir geschilderten Symptomatik noch mehr im Untergrund läuft. Da bleibt mir nur Dir den Rat zum neu Aufsetzen zu geben. In der verlinkten Anleitung von Cidre ist, beschrieben/verlinkt, warum das in so einem Fall die einzig sinnvolle Lösung Deines Problems ist - alles andere ist nutzlose Bastelei! Achte in Hinkunft auch auf die Aktualität Deines Systems - Servicepack 2 ist bei Dir längst überfällig! alles Gute, stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
21.03.2006, 15:49 | #6 |
| WDFMGR.exe oder SCHED.exe Ja, aber warum findet antivir nichts? |
22.03.2006, 06:38 | #7 |
| WDFMGR.exe oder SCHED.exe Weil kein Virenscanner ein Allheilmittel darstellt - das Perfide an der Schadsoftware ist, dass auch sie immer weiter entwickelt wird. Wenn ein remoter Angreifer über ein "Hintertür" (=Backdoor!) eben schon was an Deinem Sys herummanipuliert hat, kann dein Scanner eben auch nichts mehr finden - lies' Dir Cidres links zu diesem Thema mal genau durch, dann siehst Du, welche Möglichkeiten da bestehen! stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
Themen zu WDFMGR.exe oder SCHED.exe |
anhang, antivir, gefährlich, geholfen, google, hoffe, inter, interne, internetverbindung, jahre, mail, sched.exe, ungefährlich, verbindung, virus |