wmiprvse.exe Keine Ahnung wie ich das Ding entfernen kann

#1 Durch Zufall bin ich heute Im Taskmanager auf diese exe Datei gestossen.Da ich sie nicht kannte läuteten sofort meine Alarmglocken.Also wollte ich den Prozess beenden,geht aber nicht.
Ich habe mir da W32/Sonebot eingefangen.Habe auch schon bei symantec rumgesucht,da aber mein English von vorgestern ist,kam ich da nicht weiter.
Also wie entferne ich das Teil?
Unten noch ein HijackThis Logfile.
Danke im Vorraus!

Logfile of HijackThis v1.97.7
Scan saved at 00:00:32, on 24.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\PocketCam 3Mega\ICON.EXE
C:\Programme\Hardcopy\hardcopy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Kevin\Eigene Dateien\Progs\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Ad-watch] C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O4 - Global Startup: PocketCam 3Mega Monitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9921431F-C48C-4B53-839C-316F9123A9ED}: NameServer = 195.93.77.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6B6F2E0-9CC1-4DD8-9EB3-A9E3EB6859B6}: NameServer = 192.168.122.252,192.168.122.253

#2 Hi Schumi78

meinst du die "wanmpsvc.exe"
Dies ist von AOL, ein Wan miniport (ATW) service.

Habe leider in deinem Log keine "wmiprvse.exe" gefunden

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 Hi paff,
ja die wmiprvse.exe kann man auch nur im Taskmanager sehen.Wie gesagt den Prozess kann ich nicht beenden.
Oder war das nur falscher Alarm?Hab da so meine Bedenken.Weil laut symantec der Sonebot ein mieser Wurm sein soll.
Gruß Schumi78

#4 Hi Schumi

1. Wie kommst du darauf das es der "W32/Sonebot" ist.

2. Kann es sein das der Prozess zu "Norton/Symantec" gehört

gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5 Weil ich auf Sophos.de folgendes gefunden habe:

W32/Sonebot-B ist ein Netzwerkwurm, der eine IRC-bot- und Backdoor-Funktion enthält, die unbefugten Fernzugriff auf den infizierten Computer ermöglicht.

Dieser Wurm kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern, initiiert einen remoten Hintergrundprozess und verbindet sich mit einem remoten IRC-Server sowie einem bestimmten Kanal.

W32/Sonebot-B legt eine Kopie von sich mit dem Dateinamen WMIPRVSE.EXE im Windows-System32-Ordner ab.

Und daher gehe ich davon aus das es sich um Sonebot handelt.

#6 Laut deinen Logfile läuft aber keine
WMIPRVSE.EXE

Ist der prozess den im Taskmanager zu sehen?



paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 Jap,der Prozess läuft unter System und belegt konstant 3.816K Speicher.
Scheint ein Phantom zu sein,denn wenn ich neu boote ist die exe auch bei den Netzwerkdiensten und eben unter System im Taskmanager zu finden.Den Prozess bei den Netzwerkdiensten kann ich dann beenden.
Habe auch schon den CWShredder mehrmals drüber laufen lassen,aber nichts.

Gruß vom frustrierten
Schumi78

#8 --------------------------------
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#9 Du kannst die Datei auch mal hier testen:
http://www.kaspersky.com/remoteviruschk.html
und suche in der Registrierung mal nach dem Dateinamen (Bitte im abgesicherten Modus suchen)
__________
MfG Ralf
SEO-Spam Hunter

#10 kannst du sie mir bitte auch mal schicken....

Spam-Email@gmx.net
MFG
DAFRA

#11 Würde ich ja gern,aber im Windows System32 Ordner ist die Datei nicht zu finden,selbst mit der Suchfunktion von Windows kann ich nichts erreichen.

Gruß Schumi78

#12 Öffne den Explorer und stelle unter "Extras => Ordneroptionen" im Registerblatt "Ansicht" ein, mach nun das Häckchen vor "Geschützte Systemdateien ausblenden" und mach ein Häckchen bei "Alle Dateien und Ordner anzeigen"
Dann guck noch mal.
MFG
DAFRA

#13 Hi an alle.
Habe das Biest gefunden.Versteckte sich im wbem Ordner im System32.Habe die exe Datei im abgesicherten Modus gelöscht und siehe da,beim Neustart keine wmiprvse.exe mehr im Taskmanager zu finden.Auch in der Registrierung sind keine Einträge zu finden.Glaube (oder vielmehr hoffe) das Problem damit gelöst zu haben.
Daher Dank an alle
Gruß Schumi78

#14 Hi Schumi

Schau mal in der Registry in diesem Key nach

HKeyLocalMachine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe wmiprvse.exe

Dort sollte nur "Explorer.exe" stehen
Das "wmiprvse.exe" sollte gelöscht werden.

Wenn du dir nicht sicher bist, poste nochmal nicht das du dir den Rechner zerschießt.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#15 Hi paff,
Es steht dort nur Explorer.exe
Scheint tatsächlich komplett gekillt worden zu sein.
Gruß
Schumi78