| |
| |||||||
Log-Analyse und Auswertung: WDFMGR.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
22.04.2007, 02:28
| #1 |
 |  WDFMGR.exe Hallo Leute, ich hatte jetzt einige Tage diesen WDFMGR.exe Wurm auf meiner Platte!! Ich hab die exe und registry eintrag gelöscht.. Jetzt wollte ich auf nummer sicher gehen und mal ein profi feedback haben, ob alles sauber ist. Logfile of HijackThis v1.99.1 Scan saved at 03:23:37, on 22.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe E:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\Trust\270KDS~1\Keyboard\Ikeymain.exe E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE E:\Programme\Java\jre1.6.0\bin\jusched.exe C:\WINDOWS\VM_STI.EXE C:\WINDOWS\system32\ctfmon.exe E:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe E:\Programme\AntiVir PersonalEdition Classic\sched.exe E:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe F:\Programme\System\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [TrustKeybd] C:\PROGRA~1\Trust\270KDS~1\Keyboard\Ikeymain.exe O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0\bin\jusched.exe" O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE BenQ Web Camera O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Brockhaus-Direktsuche.lnk.disabled O8 - Extra context menu item: Alles mit FlashGet laden - E:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Download with GetRight - E:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Mit FlashGet laden - E:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - E:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Save Flash - res://e:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\WINDOWS\System32\shdocvw.dll (HKCU) O12 - Plugin for .csm: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .csml: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .cub: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .cube: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .dx: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .emb: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .embl: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .gau: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .jdx: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .mol: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .mop: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .pdb: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .rxn: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .scr: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .skc: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .spt: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .tgf: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .xyz: C:\Programme\Internet Explorer\Plugins\npchime.dll O18 - Protocol: Festoon - (no CLSID) - (no file) O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - e:\Programme\Skype\Plugin Manager\Skype4COM.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: apm - control service (apmctrl) - Unknown owner - e:\Programme\abylonsoft\apmPro\APMPCtrlSer.exe (file missing) O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - E:\xampp\FileZillaFTP\FileZillaServer.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - e:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - e:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing) O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe |
|
22.04.2007, 22:31
| #2 |
| | WDFMGR.exe ist alles in ordnung oder habt ihr keine lust zu antworten? ^^
__________________ |
|
23.04.2007, 17:33
| #3 |
| | WDFMGR.exe ???????????
__________________ |
|
23.04.2007, 17:50
| #4 | |
| Administrator > Competence Manager  |  WDFMGR.exeZitat:
 Das Hijacklog sieht meiner Ansicht nach clean aus, was aber gerade bei einem BackdoorTrojaner nie zu 100% in Ordnung geht. Daher: Arbeiten mit MWAV (eScan) * Lies dir folgende Anleitung genau durch und arbeite sie ab: -> Anleitung eScan * Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”. (steht alles ganz genau in der Anleitung.) F-Secure Blacklight – Rootkitscanner: * Scanne dein System mit Blacklight- * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
23.04.2007, 23:04
| #5 |
| | WDFMGR.exe Achso! Klar so etwas passiert. Ich werd beide Dinge erledigen & hier posten.. |
|
24.04.2007, 16:00
| #6 |
| | WDFMGR.exe Let´s go: 1)e-scan ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.04.20.01 Installationssprache Deutsch find.bat im normalen Modus ausgefuehrt Microsoft Windows XP [Version 5.1.2600] Version REG_SZ 9.1.9 Tue Apr 24 16:34:26 2007 => Virus-Datenbank Datum: 4/23/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Apr 24 14:40:22 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Tue Apr 24 14:40:23 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Tue Apr 24 14:40:20 2007 => System found infected with flashget Unclassified ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: Keine Aktion vorgenommen. Tue Apr 24 14:40:20 2007 => System found infected with spyfalcon Trojan ({d1a2e7cd-f5c1-21a8-ca2c-13d0ac72d19d})! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Tue Apr 24 14:42:32 2007 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pingmeetsoftwaresect\BoreWindow.exe markiert als "not-a-virus:AdWare.Win32.Lop.bb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Tue Apr 24 16:08:26 2007 => Datei F:\Programme\Chat\IRC\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. Tue Apr 24 16:10:28 2007 => Datei F:\Programme\Netzwerk\VNC\vnc-E4_1_9-x86_win32.exe//data0003 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Tue Apr 24 16:33:32 2007 => Datei F:\Büro\Schule ITA\Fächer\BSNW\13\Referate\2.Halbjahr.rar/it13.3-referate\Rene Rösner\vnc-4_1_1-x86_win32.exe//data0001 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4110. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Tue Apr 24 14:40:22 2007 => Offending Key found: HKLM\Software\magnet !!! Tue Apr 24 14:40:23 2007 => Offending Key found: HKCU\\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ Tue Apr 24 15:02:20 2007 => C:\WINDOWS\Resources\Themes\Eclipse\shell\normalcolor\shellstyle.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... Tue Apr 24 15:26:00 2007 => E:\MSOCache\All Users\{90120000-00A1-0407-0000-0000000FF1CE}-E\OnoteLR.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... Tue Apr 24 15:49:16 2007 => E:\Programme\Microsoft Office\Office12\1031\OneNoteMobile.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc C:\WINDOWS\system32\drivers\etc\hosts: C:\WINDOWS\system32\drivers\etc\hosts: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Apr 24 16:34:26 2007 => Gescannte Dateien: 182851 Tue Apr 24 16:34:26 2007 => Gefundene Viren: 8 Tue Apr 24 16:34:26 2007 => Anzahl der desinfizierten Dateien: 0 Tue Apr 24 16:34:26 2007 => Umbenannte Dateien: 0 Tue Apr 24 16:34:26 2007 => Anzahl der gelöschten Dateien: 0 Tue Apr 24 16:34:26 2007 => Anzahl Fehler: 207 Tue Apr 24 16:34:26 2007 => Dauer des Scans bisher: 01:54:19 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Apr 24 14:40:05 2007 => Specherüberprüfung: Aktiviert Tue Apr 24 14:40:05 2007 => Registry Überprüfung: Aktiviert Tue Apr 24 14:40:05 2007 => System-Ordner Überprüfung: Aktiviert Tue Apr 24 14:40:05 2007 => Überprüfung der Systembereiche: Deaktiviert Tue Apr 24 14:40:05 2007 => Überprüfung der Dienste: Aktiviert Tue Apr 24 14:40:05 2007 => Überprüfung der Festplatten: Deaktiviert Tue Apr 24 14:40:05 2007 => Überprüfung aller Festplatten :Aktiviert 2)blacklight rootkit eliminator Status: "No hidden Items found" |
|
25.04.2007, 15:23
| #7 |
| | WDFMGR.exe Beitrag wird wohl wieder übersehen worden sein...... |
|
25.04.2007, 15:31
| #8 | |
| Administrator > Competence Manager |  WDFMGR.exeZitat:
Warum eigentlich immer bei dir?  Egal, das System sieht eigentlich recht gut aus, bis auf das hier: Lösche diesen Ordner -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pingmeetsoftwaresect\ Das sind Reste vom Swizzor.A welche aber nicht aktiv sind bzw. waren. Ansonsten kann ich dir nur nochmal einen Scan hiermit empfehlen -> Ad-Aware: Ad-Aware 1.06 herunterladen und damit das System bereinigen! Danach würde ich dich als geheilt entlassen..  Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
| Themen zu WDFMGR.exe |
| adobe, antivir, avg, avira, bho, browser, dll, excel, explorer, feedback, ftp, helper, hijack, hijackthis, internet, internet explorer, nvidia, registry, rundll, saving, senden, server, software, system, tuneup utilities, windows, windows xp, wurm |
Linear-Darstellung
