Kennt irgendwer diesen neuen Virus :wdfmgrr.exe ????? WICHTIG!

Hi!!


Könnte ein Trojaner sein.. 

Geh mal auf  http://www.hijackthis.de/de und dann auf DirektDownload

Saug dir dann die Datei runter und Installier das mal..

Dann klickste auf " Do a System scan and save a Logfile" und Mailst die Logfile zunächst hier rein..

Logfile of HijackThis v1.99.1
Scan saved at 12:02:17, on 29.11.2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\lotus\notes\ntmulti.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\wdfmgrr.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\Ekofresh\LOKALE~1\Temp\Rar$EX00.069\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.175.37.71:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Trillian.lnk.disabled
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk.disabled
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{283984B1-525C-4DC4-9E4B-3DF424196253}: NameServer = 192.168.101.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DB2C27A-E427-4261-8FAE-5E96755B6B4C}: NameServer = 192.168.101.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{283984B1-525C-4DC4-9E4B-3DF424196253}: NameServer = 192.168.101.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{283984B1-525C-4DC4-9E4B-3DF424196253}: NameServer = 192.168.101.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\lotus\notes\ntmulti.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: User Mode Driver-Manager - Unknown owner - C:\WINDOWS\wdfmgrr.exe

Hi,

also in deinem Logfile sind mehrere Unbekannte Prozesse drin die man nicht eindeutig zuordnen kann. Wichtig wäre dass du als erstes deine Systemwiederherstellung deaktivierst. Dann Task Info runterladen und den Prozess von wdfmgrr deaktivieren! Danach solltest du dir den Kaspersky Free Scanner von der Kaspersky homepage downloaden und den Pc im Abgesicherten Modus damit scannen.
Lösche ihn danach und bereinige nach erfolgreichem Löschen des Virus deine regestry mit dem Programm Regclean v4.1 kostenlos unter www.freewarepage.de !
Sichere davor deine Regestry !!!

Dann solltest du keine Probleme mehr damit haben!

Hallo Ekofresh,
ich habe auf einem Win2000 Rechner den selben Virus/Trojaner.
Hast Du schon was erreichen können?

Hallo Ekofresh,
mit etwas Verspätung hier noch eine Hilfe.

diese Einträge
C:\WINDOWS\wdfmgrr.exe
O23 - Service: User Mode Driver-Manager - Unknown owner - C:\WINDOWS\wdfmgrr.exe

deuten deutlich auf eine Wurminfektion hin.

Verwende das Programm Killbox um die folgende Dateie zu löschen:
C:\WINDOWS\wdfmgrr.exe

Download = http://www.bleepingcomputer.com/files/killbox.php
Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html

Überprüfe in Anschluss dringend deinen PC mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab!

Deaktiviere zuerst die Systemwiederherstellung von Windows, nur bei XP und ME.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“

Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner von Ewido  vorgenommen werden.
Zum Teil in Englisch und nur für Windows XP und 2000
http://www.ewido.net/de/onlinescan/
Gut bei der Spyware / Adware Erkennung und Beseitigung.
Wenn Malware entdeckt, muss nach dem Scan der Button “Remove Infections“ gedrückt werden, damit die Schadprogrammen automatisch beseitigen.
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar)

Poste bitte auf jeden Fall die ausführlichen Berichte der Scanner hier !
Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder.

Zum Schluss erstelle ein neues HijackThis-Log und poste den Logfile hier.

WICHTIG!
Dein Windows XP Betriebssystem ist nicht aktuell, es wurden nicht alle Sicherheitsupdates eingespielt.
Hier muss unbedingt gehandelt werden!
Nur mit SP2 und allen folgenden Patches ist Windows XP ausreichend vor Gefahren geschützt.

Bitte umgehend alle Windowsupdates einspielen, es gibt keine Ausrede weshalb man dies nicht machen sollte, sofern man einen DSL Anschluss hat. Ansonsten besorge die Updates über Freunde die einen DSL besitzen.
Updates Links für Windows XP:
Service Pack 2, ca. 265MB:
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de
Sicherheitspatches nach SP2, ca. 76MB:
http://download.winboard.org/details.php?file=42

Hallo Ekofresh,
ich habe mittlerweile ein Programm gefunden, das den Trojaner löscht, leider sind alle anderen Versuche die hier aufgezeigt wurden mißlungen, die wdfmgrr.exe war immer wieder da.
Probier doch mal PrevX1aus, das hat bei mir geklappt.