WUDFHOST.exe

Ik weet niet exact of ik met de vraag hier goed ben maar de virusscanner kwam het volgende bestand tegen en heeft het in quarantaine geplaatst. program files/common files/windows driver foundation/wudfhost.exe. Ik heb het gegoogeld maar ben niet veel wijzer geworden. wudfhost.exe schijnt voor windows 7 nodig te zijn om goed te kunnen functioneren, tenminste als het is geplaatst in windows/systeem 32, zo heb ik gelezen. is dit wat nu door de virusscanner in quarantaine is geplaatst een false positive of was dit op deze plek een trojan of virus?

Bedankt voor de tip

Heb het bestand even terug geplaatst in program files/common files/windows driver foundation en heb het even laten scannen bij virusscan/jotti.org. twee scanners zagen het als een trojan.
extra info over bestand:
Bestandsgrootte: 469504 bytes
Bestandstype: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5: 9126bff71c6a0fceaa19535ff799c779

Ik heb het bestand wudfhost.exe ook nog een keer in de windows/systeem 32 map. die heb ik ook gescand en door elke scanner goed bevonden.
extra info over bestand;
Bestandsgrootte: 195584 bytes
Bestandstype: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5: 311a281f5199ec39711017530dc06b64

ik heb wudfhost.exe dus twee maal op de computer.

Klopt dat?

killugh schreef op donderdag 01 maart 2012 @ 01:24:
De Program Files\Common Files\Windows driver foundation is in elk geval geen standaard map, tevens het feit dat 2 scanners er iets verdacht in zien zou mij doen besluiten het bestand te verwijderen en een volledige systeemscan uit te voeren met een virusscanner of bijv malwarebytes.

Zie ook deze link voor meer info, bestand in dezelfde locatie, wordt gedetecteerd als trojan.
http://www.wilderssecurity.com/showthread.php?t=318982

Ik heb een scan met malwarebytes gedaan en die vindt helemaal niks. dat op wilderssecurity had ik ook al gelezen. ik heb nog even gekeken wanneer de map windows driver foundation is aangemaakt en dat is 20-02-2012. het lijkt mij in elk geval niet essentieel voor windows. raadselachtig allemaal.

Anoniem: 194828 schreef op donderdag 01 maart 2012 @ 07:17:
Kijk eens bij de eigenschappen van het bestand of het certificaat (digitale handtekening) in orde is?
En bij twijfelgevallen als deze kun je het bestand altijd naar je AV vendor sturen als False Positive. Je krijgt dan vanzelf wel te horen (eigenlijk lezen) of het een False Positive is of niet.

Nadat ik dit resultaat op VirusTotal had gevonden denk ik dat je Emsisoft Anti-Malware of Ikarus gebruikt. Beide programma's hebben een optie om het gedetecteerde bestand als FP te verzenden voor een nadere analyse. Na detectie van het bestand rechtsklikken op het bestand in het scanresultaat en versturen als FP. Indien je de mogelijkheid krijgt om een e-mail adres in te vullen, doe dat dan. Dan krijg je een bericht terug.

Ik heb even onder eigenschappen/details gekeken en daar staat dat het gewoon van microsoft corporation is. Ik gebruik AVG en tijdens een normale scan wordt er ook niks gevonden. maar tijdens het opstarten krijg ik de melding dat wudfhost.exe malware is. Het gedraagt zich dan waarschijnlijk erg verdacht. Ik heb het bestand dan ook even naar AVG gestuurd voor analyse. Bedankt voor de tips

UPDATE. Wat ik nog even heb gedaan is dat ik op wudfhost.exe plus bestandsversie heb gegoogeld. Bestandsversie is 6.1.7600.16385 en ben op de volgende pagina terecht gekomen. Als je kijkt naar mijn bestand wudfhost.exe en naar hoe hij daar wordt aangeven zijn er toch een paar afwijkingen. Mijn wudfhost.exe is 469504 bytes en hij zou 195584 bytes moeten zijn. Ook de md5 is afwijkend. Ik heb besloten om hem maar te verwijderen en het heeft tot dusverre geen nare gevolgen gehad. Mocht ik er nog tegen aanlopen dat iets niet meer goed werkt heb ik altijd nog een systeemimage terugplaatsen. Lijkt mij de beste oplossing.

[ Voor 21% gewijzigd door Anoniem: 302568 op 02-03-2012 13:17 ]