Hi, bin neu hier und hab im moment ziemlich stress mit meiner kiste... folgendes Problem:

Mein systemschutz hat gemeldet, dass der registrierungseintrag vom Windows mediaplayer geändert wurde. ich habe "ausversehen" auf zulassen geklickt, nun sind alle mediendateien mit einem wmplayer.exe im odner windows\system32 anstatt dem üblichen programme\medienplayer verlinkt...

die Neue WMPLAYER.EXE ist nur noch 108 (?) kb grob, die richtige hingegen 508 kb !! also muss das wohl ein virus sein. bei der nächsten internetverbindung hat die firewall auch gleich gemeldet, dass wmplayer versucht sich anzumelden. und wenn ich auf eine mediendatei klicke um sie zu öffnen, tut er das auch nicht ( klar, is ja ne falsche .exe )... !

Wenn ich inhalt des ordners medienplayer lösche, taucht er kurz darauf wieder auf. genauso beim iexplorer , aber den benutz ich sowieso nicht. benutze mozilla. ( nur falls das etwas damit zu tun hat )

Ich weiss nicht wie ich den virus, oder was das ist, wegbekomme und bräuchte mal den rat von n paar leuten, die sich damit auskennen. wär echt super wenn mir jemand helfen könnte.
Ich denke, das Problem liegt nicht am Medienplayer selbst, sondern allgemein an einem virus der sich an alle gängigen .exe dateien hängt und die registry ändert, die man aufruft. weiß jemand wie ich den virus ENTGÜLTIG beseitigen kann ? glaub nämlich der hat sich an mehrere .exe's angehängt, zumindest meldet meine firewall auch andere programme, die aufs inet zugreifen wollen, obwohl dies für diese normal nicht üblich ist !

Wär euch echt dankbar !!!
danke schonmal im voraus

Overlord

@Overlord


downloade doch mal HJT,http://www.trojaner-board.de/51130-a...ijackthis.html

mache mal einen scan, und poste die hier im Board


chaosman

Also HJT sagt folgendes:

Logfile of HijackThis v1.98.2
Scan saved at 20:40:27, on 25.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\winsystem.exe
C:\WINDOWS\System32\MSupdate32.exe
C:\WINDOWS\System32\TikTo.exe
C:\WINDOWS\System32\MSlti32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Software\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows System Manager] winsystem.exe
O4 - HKLM\..\Run: [msconfig service] MSupdate32.exe
O4 - HKLM\..\Run: [Task manager] TikTo.exe
O4 - HKLM\..\Run: [Microsoft AUT Update] MSlti32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CmiRemoveDir] C:\WINDOWS\CMIRMR~1.EXE
O4 - HKLM\..\RunServices: [Windows System Manager] winsystem.exe
O4 - HKLM\..\RunServices: [msconfig service] MSupdate32.exe
O4 - HKLM\..\RunServices: [Task manager] TikTo.exe
O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Windows System Manager] winsystem.exe
O4 - HKCU\..\Run: [Task manager] TikTo.exe
O4 - HKCU\..\Run: [Microsoft AUT Update] MSlti32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096111247453

Da ist einiges drin!

Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

@Overlord

du hast mehrere Trojaner im system,

ich würde neu aufsetzen, daß system ist als kompromittiert zu betrachten.
d.h. dein system ist nicht mehr unter deine kontrolle
http://oschad.de/wiki/index.php/Kompromittierung



setze neu auf und ändere deine passwörter

chaosman

Hallo Overlord,

das sieht gar nicht gut aus, auf deinem System wimmelt es nur von Backdoor Trojaner. Daher wäre imho am sichersten und sinnvollsten, wenn du dein System neu aufsetzen würdest, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Das sind die Übeltäter:
C:\WINDOWS\System32\winsystem.exe => W32/Dumb-A
C:\WINDOWS\System32\MSupdate32.exe => WORM_SPYBOT.GEN
C:\WINDOWS\System32\TikTo.exe => WORM_RBOT.LV
C:\WINDOWS\System32\MSlti32.exe => Backdoor Rbot.gen

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Er soll ruhig mal mit eScan scannen ........ vielleicht finden wir ja was neues.

Hi, hier bin ich wieder !

danke für die schnelle Hilfe !!
Habe nun alle Daten gesichert ( auf 10 CDs ^^ ) und alle Partitionen formatiert. Nun hab ich Windows frisch aufgespielt und von einem fremden, sauberen PC HJT , Antivir, ZoneAlarm, Adaware, RegCleaner, Spybot, Mozilla, Thunderbird gezogen, auf viren überprüft und auf meinem system installiert. jetzt bin ich das erste mal im internet. hier ist die neue HJT Log:

Logfile of HijackThis v1.98.2
Scan saved at 14:52:33, on 26.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Antivir\AVGNT.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Security\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{45361F74-83D3-4335-BCDA-EA779A0E6861}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{45361F74-83D3-4335-BCDA-EA779A0E6861}: NameServer = 217.237.150.33 217.237.151.161

was meint ihr dazu ? hab ich alles wegbekommen ?
gibt es die windows updates und sicherheitspakete auch auf irgendner page als .exe zum downloaden , dass ich net den ie benutzen muss ?!?

Danke nochmal für die Hilfe !!!

mfg, overlord

Zitat:

was meint ihr dazu ? hab ich alles wegbekommen ?

Yepp, sieht wieder sauber aus.

Zitat:

gibt es die windows updates und sicherheitspakete auch auf irgendner page als .exe zum downloaden , dass ich net den ie benutzen muss ?!?

Manuell auf dieser Seite http://www.microsoft.com/downloads/s...ndTopList=true , allerdings ist es komfortabler den IE nur für das Windows Update zu nutzen.

Ok, vielen Dank nochmal an alle !! Endlich wieder virenfrei =)
jetz nur noch die passwörter ändern dann passts.

mfg, overlord

PS: klasse Page !