Winmgmt.exe: Malware oder Windowsfile?

[Dr.Death]

Nach der Installation des SP2 für Office 03 war plötzlich diese Datei da, und wollte Zugriff aufs Internet. Meine Sygate Firewall stuft die Datei als "Critical" ein, mit dem Zusatz: "Application Hijacking". Und diese Meldund gibt sie zum ersten mal aus - ich hab schon vielen Files den Zugriff aufs Netz verweigert.

Bei Google findet man nur den Hinweis, dass es sich bei dem File möglicherweise um Malware handelt, wenn sie NICHT im Verzeichnis C:\WINNT\System32 auftaucht. Nun, WINNT/System32/WBEM ist bei mir der Ordner.

Norton 2005 findet nix - muß aber ja nix heißen.

Ist die Datei durch das SP2 aktiv geworden oder könnte es sich doch um Spyware o.ä. handeln?

W2k SP4 + Rollup 1

 

[sunny-side_down]

Hab nachgeschaut. Eigentlich ist diese Datei von Windows, aber NUR DANN, wenn sie in C:\Windows\System32 DIREKT liegt.
Sonst könnte es ein Virus sein.

Siehe auch
http://www.neuber.com/taskmanager/process/winmgmt.exe.html
http://www.hardavenue.com/a/Winmgmt.exe.php

Also lieber nochmal auf Viren prüfen und dann die Datei umbenennen oder wegverschieben. Wenn dann noch alles geht, dann war es wohl ein Virus.

Außerdem verwendet die originale Winmgmt.exe kein Netzwerk, siehe
http://www.liutilities.com/products/wintaskspro/processlibrary/winmgmt/

 

[kisser]

Eine Datei kann auch durchaus in mehreren Ordner liegen.
WBEM ist jedenfalls ein Windows Systemordner (sofern man WBEM bei der Windows-Installation auch installiert hat).

 

[Dr.Death]

Eine Datei kann auch durchaus in mehreren Ordner liegen.
WBEM ist jedenfalls ein Windows Systemordner (sofern man WBEM bei der Windows-Installation auch installiert hat).

Sorry, aber was ist denn WBEM?

 

[kisser]

Web based enterprise management, sollte mittlerweile aber WMI heissen.

http://www.microsoft.com/whdc/system/pnppwr/wmi/WMI-intro.mspx

http://search.microsoft.com/search/results.aspx?st=b&na=88&View=en-us&qu=WBEM

 

[sunny-side_down]

kisser: Du hast Recht. Bei mir liegt die Datei auch in system32/wbem

Death: Taucht bei dir denn die Datei im Taskmanager auf? Bei mir nicht.

 

[Dr.Death]

Jo, sie ist im Taskmanager drin. Nimmt aber weder CPU Zeit noch RAM (weniger als 1MB) in Anspruch.

Deutet also alles aufn Virus hin, was? Merkwürdig ist, dass ich nur das SP2 installiert habe und sonst nichts - großer Zufall oder ein Zusammenhang?

Edit: Beenden lässt sie sich nicht: Zugriff verweigert...

 

[sunny-side_down]

Ich bin mir eben nicht mehr ganz sicher, dass es wirklich ein Virus ist.
Er greift halt aufs Netzwerk zu und das sollte er nicht. Normalerweise ist diese Datei für irgendwelche Skripten zuständig.

Versuch besser nochmal, einen anderen Virenscanner oder das Microsoft Viren-Tool laufen zu lassen.

 

[Dr.Death]

Microsoft Viren-Tool

Wo gibts denn das? Sonst werd ich mal AV Personal drüberlaufen lassen. Merkwürdig, dabei hat Norton doch noch relativ hohe Erkennung

 

[sunny-side_down]

http://www.microsoft.com/downloads/...e0-e72d-4f54-9ab3-75b8eb148356&DisplayLang=de

 

[Dr.Death]

Hm, also das MS Teil findet schonmal nix. Lade mir gerade die aktuelle AV Personal Version runter... sag dann gleich Bescheid, was passiert ist.

 

[kisser]

Ich bin mir eben nicht mehr ganz sicher, dass es wirklich ein Virus ist.
Er greift halt aufs Netzwerk zu und das sollte er nicht. Normalerweise ist diese Datei für irgendwelche Skripten zuständig.

Dieses ganze WBEM und Win Management Zeugs ist AFAIK fuer Systemadministratoren gedacht, die Rechner im Netzwerk fernwarten wollen. Es ist also schon normal, dass da Netzwerkzugriffe erfolgen. Mit dem Zeug hab ich aber auch nur soviel zu tun, dass ich weiss, dass es existiert.
Ich muss mich da mal reinlesen, wenn es sich nicht abschalten laesst, dann kann man es immer noch deinstallieren (Hinzufuegen/Entfernen von Windows-Komponenten)

 

[Sturmgewalt]

Hallo,
also bei Google gleich der 2. Treffer
http://frankn.com/html/winmgmt_exe.php

ie winmgmt / winmgmt.exe ist eine Windows - Systemdatei.
Mit der winmgmt.exe ist es dem Administrator möglich Windowsscripte zu erstellen. Beispielsweise mit dem Befehl "Eventcreate" und der entsprechenden Syntax dahinter. So könnte man, unter Anderem, Benutzerkonten auf Server administrieren.
mfg

 

[sunny-side_down]

Ja schon, aber viele Würmer und Viren verwenden genau den Namen von Systemdateien, damit man sie eben nicht erkennt bzw. nicht löscht. Das ist ja genau das Problem.

 

[Dr.Death]

Eben, eben...

Also ich hab ihr jetzt mal keinen Zugang gegeben - wozu auch.

Weder mein aktueller Norton noch AV Personal hat was auf meinen Platten gefunden. Daher werd ichs wohl einfach so weiterlaufen lassen und mich einfach nur drüber wundern...

Für weitere Ideen bin ich dankbar - ansonsten allen hier THX für Ihre Mühe!

 

[KL0k]

hm, zieh dir mal spybot zur sicherheit für die zukunft

 

[Dr.Death]

Jo, werd ich wieder drauf machen, THX.