Trojaner-Board - winmgr.exe ?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - winmgr.exe ? (https://www.trojaner-board.de/38652-winmgr-exe.html)

hallo zusammen

seit ein paar tagen findet antivir immer wieder zeugs, es fing mit winmgr.exe an, jetzt kamen auch noch ein paar andere. googeln hat mich nicht viel weiter gebracht, vielleicht kann sich ja mal jemand mein logfile ansehen.

vielen, vielen dank im vorraus.
endi

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Ohoh..

Zitat:

O4 - HKCU\..\Run: [SYSTEM] winmgrd.exe
O4 - HKCU\..\RunServices: [SYSTEM] winmgrd.exe

Das sieht auf jeden Fall nicht gut aus.

Lad die Datei mal bei Virustotal hoch und poste das vollständige Ergebnis.

Zitat:

winmgrd.exe

Die Datei musst du mal suchen ich denke sie wird unter C.\Windows\System32 liegen, muss aber nicht.

Edit: Guck mal ob sowelche Dateien da sind.. C:\Windows\System32\TFTPxxxx wobei xxxx führ eine 3-4 stellige Zahl steht

danke für die hilfe.

das hochladen funktioniert orgendwie nicht nicht. die datei hab ich in system32 gefunden, ist 92 kb gross. virustotal sagt nach dem hochladen aber:

0 bytes size received / Se ha recibido un archivo vacio

und nu?
grüße
endi

Zitat:

Zitat von Apocalypt (Beitrag 266919)

Edit: Guck mal ob sowelche Dateien da sind.. C:\Windows\System32\TFTPxxxx wobei xxxx führ eine 3-4 stellige Zahl steht

ja, davon sind einiger da. auch ne tftp.exe . ausserdem kommen immer neue warnungen, wenn ich ins system32 gehe. da wehrt sich wohl was...

Ok das heißt die Datei will nicht hochgeladen werden :pfui: :pfui: :pfui:

Avenger
-Lad dir Avenger runter Download
-Öffne Avenger
-Wähle "Input Script manually"
-Klick die Lupe an der rechten Seite an
-Gib in dem sich öffnenden Fenster den folgenden Text ein:

Zitat:

Files to delete:
C:\Windows\System32\winmgrd.exe
C:\Windows\System32\TFTP.exe
C:\Windows\System32\TFTPxxxx

Hier setzt du statt xxxx die Zahlen ein die bei dir vorhanden sind! Aber für jede Datei einen neuen Pfad also C:\Windows\System32\TFTP1234 dann neue Zeile und C:\Windows\System32\TFTP4567!!!(Beispiel)

-Schließe alle offenen Programme (außer Avenger natürlich ;) )
-Klick auf die grüne Ampel
-Nachdem Avenger seine Arbeit getan hat wirst du gefragt ob du neustarten möchtest. Antworte "yes"

Sind die TFTP Einträge da?
Edit: Mist..Also neues Script..

ok. alles jemacht.

wollter aber nicht, die sau! :kloppen:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ecrxbska

*******************

Script file located at: \??\C:\WINNT\yhnokidg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Deletion of file C:\Windows\System32\winmgrd.exe failed!
Status: 0xc000014f
Deletion of file C:\Windows\System32\TFTP.exe failed!
Status: 0xc000014f

Deletion of file C:\Windows\System32\TFTP1016 failed!
Status: 0xc000014f

Deletion of file C:\Windows\System32\TFTP1068 failed!
Status: 0xc000014f

Deletion of file C:\Windows\System32\TFTP1092 failed!
Status: 0xc000014f

Deletion of file C:\Windows\System32\TFTP1208 failed!
Status: 0xc000014f

Deletion of file C:\Windows\System32\TFTP1224 failed!
Status: 0xc000014f

Deletion of file C:\Windows\System32\TFTP1380 failed!
Status: 0xc000014f

Deletion of file C:\Windows\System32\TFTP676 failed!
Status: 0xc000014f

Deletion of file C:\Windows\System32\TFTP680 failed!
Status: 0xc000014f

Deletion of file C:\Windows\System32\TFTP900 failed!
Status: 0xc000014f

Deletion of file C:\Windows\System32\TFTP904 failed!
Status: 0xc000014f

Deletion of file C:\Windows\System32\TFTP968 failed!
Status: 0xc000014f

Completed script processing.

*******************

Finished! Terminate.

noch ne idee?
danke!
endi

1. Installiere die Wiederherstellungskonsole wie folgt:

Zitat:

1. Legen Sie Ihre Windows-XP-CD in Ihr CD-ROM-Laufwerk ein.
2. Klicken Sie auf Start und anschließend auf Ausführen.
3. Geben Sie im Feld Öffnen die Zeichenfolge d:\i386\winnt32.exe /cmdcons ein, wobei d der Laufwerksbuchstabe für das CD-ROM-Laufwerk ist.
4. Ein Windows Setup-Dialogfeld wird angezeigt. Ein Windows Setup-Dialogfeld wird angezeigt, in welchem die Option "Wiederherstellungskonsole" beschrieben wird. Bestätigen Sie die Installation mit einem Klick auf Ja.
5. Starten Sie den Computer neu. Wenn Sie den Computer das nächste Mal starten, wird im Startmenü der Eintrag "Microsoft Windows-Wiederherstellungskonsole" angezeigt.

2. Wechsle in die Wiederherstellungskonsole

Zitat:

1. Wählen Sie beim nächsten Bootvorgang den Eintrag "Microsoft Windows-Wiederherstellungskonsole" aus.
2. Wählen Sie die Installation aus, auf die Sie von der Wiederherstellungskonsole aus zugreifen möchten, falls Sie über ein Dual-Boot- oder Multiple-Boot-System verfügen.
3. Geben Sie das Administratorkennwort ein, wenn Sie dazu aufgefordert werden. Wenn es sich bei dem Administratorkennwort um ein leeres Kennwort handelt, drücken Sie einfach die [EINGABETASTE].

3. Diese Zeilen eintippen und jede Zeile mit ENTER bestätigen

Zitat:

del /F C:\Windows\System32\winmgrd.exe
del /F C:\Windows\System32\TFTP*

Danach normal booten und schauen, ob die Dateien noch vorhanden sind.

Gruß

Marc

hi marc!

danke für die antwort. ich hab hier allerdings so nen ziemlich alten rechner vererbt bekommen und überhaupt keine cd. auf dem rechner läuft windows 2000 "professional".....

gibt es da ne alternative?

viele grüße
endi

Zitat:

Zitat von EndiE (Beitrag 266946)

ich hab hier allerdings so nen ziemlich alten rechner vererbt bekommen und überhaupt keine cd. auf dem rechner läuft windows 2000 "professional".....

Ooops, sorry. Ich überleg mir mal was.

Zitat:

Zitat von MightyMarc (Beitrag 266953)

Ooops, sorry. Ich überleg mir mal was.

das wäre herzallerliebst. :Boogie:

vielen dank!
endi

@apocalypt: wie du siehst hat das mit avenger auch nicht ganz hingehauen, hast du vielleicht noch eine idee?

viele grüße
endi

Hi,

wenn man Avenger die falschen Pfade gibt, dann kann es nicht hinhauen. Windows 2000 Systeme sind als Standard in C:\Winnt\ und nicht C:\Windows\ installiert. War besser so, denn die tftp.exe ist eine Systemdatei, die mit Windows installiert wird.

Ohne ein Log des Systems ist aber im Kaffeesatz mehr zu erfahren.

Gruß, Karl

Zitat:

Zitat von KarlKarl (Beitrag 267137)

War besser so, denn die tftp.exe ist eine Systemdatei, die mit Windows installiert wird.

Es gibt Momente in denen man sich wünscht, es möge sich eine Erdspalte öffnen und einen verschlingen.

Zitat:

Zitat von KarlKarl (Beitrag 267137)

ähh, wo du recht hast, hast du recht. das probiere ich jetzt nochmal.

die tftp.exe nun mitlöschen oder nicht? da scheinen sich die experten ja nicht ganz einig zu sein.

gruss
endi

Ich würde sie da lassen. Zwar werden die meisten Windowsuser sie niemals direkt einsetzen und sie ist ein beliebtes Werkzeug von Malware neue zu laden, es kann aber sein, dass z.B. ein Malwarefix darauf aufbaut, dass sie vorhanden ist. Wenn man sowas als Batchdatei realisiert, benutzt man die Werkzeuge darin, die zur Installation des Betriebssystems gehören. Dazu zählt eben auch die tftp.exe. Wenn sie für einen schlechten Zweck benutzt wird, dann ist das Unglück bereits geschehen.

der 2. versuch (mit richtigem pfad....) brachte

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pavctd^f

*******************

Script file located at: \??\C:\Program Files\untixmoh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Winnt\System32\winmgrd.exe deleted successfully.
File C:\Winnt\System32\TFTP1016 deleted successfully.
File C:\Winnt\System32\TFTP1068 deleted successfully.
File C:\Winnt\System32\TFTP1092 deleted successfully.
File C:\Winnt\System32\TFTP1208 deleted successfully.
File C:\Winnt\System32\TFTP1224 deleted successfully.
File C:\Winnt\System32\TFTP1380 deleted successfully.
File C:\Winnt\System32\TFTP676 deleted successfully.
File C:\Winnt\System32\TFTP680 deleted successfully.
File C:\Winnt\System32\TFTP900 deleted successfully.
File C:\Winnt\System32\TFTP904 deleted successfully.
File C:\Winnt\System32\TFTP968 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

das logfile zeigt das blöde ding allerdings immer noch an:

Logfile of HijackThis v1.99.1
Scan saved at 01:05:14, on 07.05.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\ISW\alice\signup\AliceCnn.exe
C:\Dokumente und Einstellungen\Judith\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTP00885 - {4E3A00E8-4D55-4b6a-A735-128CB8A6485B} - C:\PROGRA~1\MEINPO~1\tbu02597\MEINPO~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Mein PONSline - {A6F74643-242A-A7A4-8DD5-AB40B9E25345} - C:\Programme\Mein PONSline\tbu02597\MeinPONSline.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SYSTEM] winmgrd.exe
O4 - HKLM\..\RunServices: [SYSTEM] winmgrd.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SYSTEM] winmgrd.exe
O4 - HKCU\..\RunServices: [SYSTEM] winmgrd.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3AD9081-FEB3-4BFD-BA72-C90E85239837}: NameServer = 213.191.92.86 213.191.74.18
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

hallo, ich habe folgendes problem.
seid einiger zeit öffnet sich beim starten meines laptops das fenster:

datei öffnen - sicherheitswahrnung

der herausgeber konnte nicht verfiziert werden. möchten sie diese software ausführen?

name: winuhhmgr.exe

herausgeber: unbekannter herausgeber

typ: anwendung

von: C:/WINDOWS

ausführen abbrechen

--------------------------------------------------------

was ist das? ein virus??
wie kann ich diese meldung abstellen??

bitte um eure mithilfe, bin nämlich nicht wirklich fit auf dem gebiet:(