So, nach dem Tip ausm anderen Forum werd ich jetzt mal hier mein Logfile posten...
Vielleicht weiß jemand von Euch, was die datei winmplayd.exe macht... Will immer ins Netz....
Auf der HijackThis Page hab ichs auch mal gecheckt, die Seite kann damit auch nix anfangen bzw. hat keine Infos zum Programm....

Logfile of HijackThis v1.99.0
Scan saved at 14:27:40, on 11.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\soundman.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\winmplayd.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\ZipDateien\HighJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Microsofts media] winmplayd.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Microsofts media] winmplayd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CD30190-DA70-468D-A9A1-EEBD49EFD9BA}: NameServer = 130.244.127.161 130.244.127.169
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe



Danke,

Der Mc


Edit: Mir ist eben aufgefallen, daß mein Mousedriver von Tschibo (TCM) für die Funkmaus incl. Funktastatur die Signatur von nem Trojaner hat, zumindest laut Hijackthis.de....: "Added as result of a CRYPTER.A trojan infection"
Und nu?? Ist ganz neu installiert.....

Ein Thread langt normal hier!

Lass diese beiden Dateien bitte online überprüfen

C:\WINDOWS\System32\winmplayd.exe

c:\programme\yaw 3.5\fast.exe

und zwar hier: http://virusscan.jotti.org/de

Poste dann das Ergebnis!

Also, für winmplayd.exe:

Service load:
0% 100%
File: winmplayd.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
UPX

AntiVir
Worm/Rbot.84992 (0.16 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.86 seconds taken)
ClamAV
Exploit.DCOM.Gen (0.43 seconds taken)
Dr.Web
Win32.HLLW.MyBot (0.52 seconds taken)
F-Prot Antivirus
No viruses found (0.93 seconds taken)
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen (0.74 seconds taken)
mks_vir
Trojan.Rbot.Gen (0.22 seconds taken)
NOD32
probably unknown NewHeur_PE (probable variant) (0.56 seconds taken)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* **Locates window "NULL [class mIRC]" on desktop.
* File length: 84992 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\winmplayd.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "Microsofts media"="winmplayd.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Microsofts media"="winmplayd.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates key "HKCU\Software\Microsoft\OLE".
* Sets value "Microsofts media"="winmplayd.exe" in key "HKCU\Software\Microsoft\OLE".

[ Network services ]
* Looks for an Internet connection.
* Connects to "devnet.parited.net" on port 2100 (TCP).
* Connects to IRC Server.

[ Process/window information ]
* Creates a mutex configsd.
* Will automatically restart after boot (I'll be back...). (3.70 seconds taken)

----> Sieht also nich gut aus...

Und für fast.exe:


Service load:
0% 100%
File: fast.exe
Status:
OK
Packers detected:
None

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.33 seconds taken)
ClamAV
No viruses found (0.41 seconds taken)
Dr.Web
No viruses found (0.97 seconds taken)
F-Prot Antivirus
No viruses found (0.17 seconds taken)
Kaspersky Anti-Virus
No viruses found (1.29 seconds taken)
mks_vir
No viruses found (0.46 seconds taken)
NOD32
No viruses found (0.73 seconds taken)
Norman Virus Control
No viruses found (0.77 seconds taken)


----> Sieht besser aus.....

Und nu?? Datei und registryeinträge löschen??
Hat jemand ne idee, was das mit meinem Maustreiber soll??

Der Mc

Habs mir fast gedacht,du hast einen sehr gefährlichen Backdoor Trojaner auf deinem System,für dich gilt es,den Rechner zu formatieren,befolge dazu den Link hier: http://www.trojaner-board.de/showpos...28&postcount=2

Eine andere Möglichkeit gibt es leider nicht!

Edit: Der da http://www.sophos.de/virusinfo/analyses/w32sdbotsi.html

Ups..., das kommt mir aber ungelegen....
Ähm...wenn ich die datei und die registry-anhänge lösche und zonealarm sage (wie immer), daß er den winmplayd nich ins netz lassen soll, dann ist doch auch gut, oder?? Oder nicht ??

Der Mc

Du kannst mir nicht erzählen,dass du zb den Link hier schon gelesen hast http://oschad.de/wiki/index.php/Kompromittierung mir geht bei sowas immer leicht die Hutschnur hoch,dein Rechner gehört vom Netz,und formatiert,und nix anderes!

Man kann nicht genau sagen,was der Trojaner noch alles verändert hat auf deinem System,das sehen wir hier nicht,und lässt sich nur sehr schwer feststellen.

Deine Haltung ist unakzeptabel,du wolltest doch hier Hilfe,oder?
Die hast du nun bekommen,und ich glaube hier auf dem Board wird dir niemand anderer was gegenteiliges sagen....

Iss ja gut.... Nur die Ruhe.....
Sorry, ich bin nich so der Virenexperte und hatte in über 10 Jahren PC-Userzugehörigkeit und mind. 8 Jahren Internet noch nie Probleme mit Viren oder ähnlichem, weil ich nämlich immer darauf achte, daß das System sicher ist. deswegen benutze ich ja auch Mozilla und Thunderbird oder Zonealarm und hab XPAntispy drauf etc. ...
Meine Haltung ist nicht, daß ich das nicht will sondern wollte nur nochmal nachfragen, ob es wirklich nötig ist, mit soooo großen kanonen zu schießen....
Im übrigen hab ich den Bericht nicht gelesen, stimmt..., ich habe ihn mal überflogen, um nen ersten eindruck zu bekommen!!
Das hat mit meiner Haltung überhaupt nix zu tun, dazu kenn ich den Trojaner nich, um dazu ne Haltung zu haben... ganz einfach!
Trotzdem vielen Dank für die Hilfe.. Vor allem dieses Online-Filecheck-page hab ich mir mal gebookmart, klasse Teil!!
Ich werd dann mal demnächst zur tat schreiten, wenn ich mal Zeit hab für das Unternehmen...

Der Mc