*Cat* 19 Geschrieben 9. Januar 2005 Melden Teilen Geschrieben 9. Januar 2005 Hi ihr lieben, ich habe mal wieder eine Frage zu den Prozessen im Taskmanager. Und zwar ist mir heute ein Prozess nach dem booten aufgefallen der wmiprvse.exe heißt. Nach wenigen Momenten verschwindet der auch wieder. Kurz vorher hatte ich eine Fehlermeldung oder ähnliches, direkt nachdem ich mich auf meinem Profil angemeldet habe, konnte sie jedoch nicht ganz lesen, weil sie sofort wieder verschwand. Irgendwas wollte sich mit dem Internet verbinden. Nun hab ich nach dem Prozess gegoogelt und verschiedene Ergebnisse bekommen. http://www.neuber.com/taskmanager/deutsch/prozess/wmiprvse.exe.html http://www.sophos.de/virusinfo/analyses/w32sonebotb.html woher weiß ich jetzt ob das der MS- Prozess ist oder ein Wurm? Habe bereits die üblichen sachen laufen lassen, Virenscanner, Adaware, Spybot und HJthis hoffe auf eure hilfe lg Cat Zitieren Link zu diesem Kommentar
Troja2k 10 Geschrieben 10. Januar 2005 Melden Teilen Geschrieben 10. Januar 2005 Wichtig: Die Datei "wmiprvse.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei wmiprvse.exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z.B. mit Security Task Manager. Hast du da schon nachgeschaut? Daran erkennt man oft, ob es ein offizieller Prozess oder Wurm ist. Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 10. Januar 2005 Melden Teilen Geschrieben 10. Januar 2005 Hi Cat! Also wenn die Datei ini dem Ordner ist: C:\WINDOWS\System32\wbem\wmiprvse.exe sollts kein Virus sein, würd ich mal sagen. Zitieren Link zu diesem Kommentar
Troja2k 10 Geschrieben 10. Januar 2005 Melden Teilen Geschrieben 10. Januar 2005 Also, bei mir liegt sie einmal in C:\WINDOWS\System32\wbem\ und einmal in C:\WINDOWS\ServicePackFiles\i386\ vielleicht hilft dir das ja auf der Suche nach der Datei ;) Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 10. Januar 2005 Melden Teilen Geschrieben 10. Januar 2005 Kuck 'mal hier: PSS Security Response Team Alert - Sasser Worm and Variants Es gibt eine Anwendung die ähnlich heisst, die aber eine Sasser-Variante ist: If the machine is currently infected with the Sasser worm it may start flooding the local network connection as soon as the cable is plugged back in making it impossible to download updates. To temporarily disable the worm use Task Manager to kill the following processes:• End any process beginning with 4 or more numbers and “_up.exe” (for example, 12345_up.exe) • End any process starting with avserve (for example, avserve.exe, avserve2.exe) • End any process named skynetave.exe • End any process named hkey.exe • End any process named msiwin84.exe • End any process named wmiprvsw.exe NOTE: Do not end the process named wmiprvse.exe it is a legitimate system process. After stopping the worm processes you should be able to download the security update and a Sasser removal tool. Gruss Velius P.S.: Steht übrigens auch in deinem ersten Link: Windows Management Instrumentation (WMI) ist eine Windows Komponente, die Management-Informationen und -Steuerung in einem Unternehmensumgebung liefert. Der Dienst "wmiprvse.exe" ist ein Teil davon.Beachte: wmiprvsw.exe ist der Sasser Wurm! Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 10. Januar 2005 Autor Melden Teilen Geschrieben 10. Januar 2005 End any process named wmiprvsw.exe NOTE: Do not end the process named wmiprvse.exe it is a legitimate system process. woah, das hab ich echt getz net so schnell sehen können, werde aber drauf achten. Das mit dem system 32 ist ja der witz, wenn man auf der sophos-seite schaut, steht da, dass sich das in den ordner system 32 kopiert, also ist das doch kein klares anzeichen, werde es beim nächsten boot, ganz genau ins auge fassen. lg Cat Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.