|
winmplayd.exe?? So, nach dem Tip ausm anderen Forum werd ich jetzt mal hier mein Logfile posten... Vielleicht weiß jemand von Euch, was die datei winmplayd.exe macht... Will immer ins Netz.... Auf der HijackThis Page hab ichs auch mal gecheckt, die Seite kann damit auch nix anfangen bzw. hat keine Infos zum Programm.... Logfile of HijackThis v1.99.0 Scan saved at 14:27:40, on 11.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\soundman.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\pctspk.exe C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe C:\PROGRA~1\TCMCOM~1\MouseDrv.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\winmplayd.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Palm\HOTSYNC.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\ZipDateien\HighJackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ATIPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Microsofts media] winmplayd.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [Microsofts media] winmplayd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe" O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{0CD30190-DA70-468D-A9A1-EEBD49EFD9BA}: NameServer = 130.244.127.161 130.244.127.169 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe Danke, Der Mc Edit: Mir ist eben aufgefallen, daß mein Mousedriver von Tschibo (TCM) für die Funkmaus incl. Funktastatur die Signatur von nem Trojaner hat, zumindest laut Hijackthis.de....: "Added as result of a CRYPTER.A trojan infection" Und nu?? Ist ganz neu installiert..... |
Ein Thread langt normal hier! :dummguck: Lass diese beiden Dateien bitte online überprüfen C:\WINDOWS\System32\winmplayd.exe c:\programme\yaw 3.5\fast.exe und zwar hier: http://virusscan.jotti.org/de Poste dann das Ergebnis! |
Also, für winmplayd.exe: Service load: 0% 100% File: winmplayd.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: UPX AntiVir Worm/Rbot.84992 (0.16 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.86 seconds taken) ClamAV Exploit.DCOM.Gen (0.43 seconds taken) Dr.Web Win32.HLLW.MyBot (0.52 seconds taken) F-Prot Antivirus No viruses found (0.93 seconds taken) Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (0.74 seconds taken) mks_vir Trojan.Rbot.Gen (0.22 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (0.56 seconds taken) Norman Virus Control Sandbox: W32/Malware; [ General information ] * **Locates window "NULL [class mIRC]" on desktop. * File length: 84992 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM\winmplayd.exe. * Deletes file 1. [ Changes to registry ] * Creates value "Microsofts media"="winmplayd.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". * Creates value "Microsofts media"="winmplayd.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices". * Creates key "HKCU\Software\Microsoft\OLE". * Sets value "Microsofts media"="winmplayd.exe" in key "HKCU\Software\Microsoft\OLE". [ Network services ] * Looks for an Internet connection. * Connects to "devnet.parited.net" on port 2100 (TCP). * Connects to IRC Server. [ Process/window information ] * Creates a mutex configsd. * Will automatically restart after boot (I'll be back...). (3.70 seconds taken) ----> Sieht also nich gut aus... Und für fast.exe: Service load: 0% 100% File: fast.exe Status: OK Packers detected: None AntiVir No viruses found (0.14 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.33 seconds taken) ClamAV No viruses found (0.41 seconds taken) Dr.Web No viruses found (0.97 seconds taken) F-Prot Antivirus No viruses found (0.17 seconds taken) Kaspersky Anti-Virus No viruses found (1.29 seconds taken) mks_vir No viruses found (0.46 seconds taken) NOD32 No viruses found (0.73 seconds taken) Norman Virus Control No viruses found (0.77 seconds taken) ----> Sieht besser aus..... Und nu?? Datei und registryeinträge löschen?? Hat jemand ne idee, was das mit meinem Maustreiber soll?? Der Mc |
Habs mir fast gedacht,du hast einen sehr gefährlichen Backdoor Trojaner auf deinem System,für dich gilt es,den Rechner zu formatieren,befolge dazu den Link hier: http://www.trojaner-board.de/showpos...28&postcount=2 Eine andere Möglichkeit gibt es leider nicht! Edit: Der da http://www.sophos.de/virusinfo/analyses/w32sdbotsi.html |
Ups..., das kommt mir aber ungelegen.... :teufel1: Ähm...wenn ich die datei und die registry-anhänge lösche und zonealarm sage (wie immer), daß er den winmplayd nich ins netz lassen soll, dann ist doch auch gut, oder?? Oder nicht :headbang: ?? Der Mc |
Du kannst mir nicht erzählen,dass du zb den Link hier schon gelesen hast http://oschad.de/wiki/index.php/Kompromittierung mir geht bei sowas immer leicht die Hutschnur hoch,dein Rechner gehört vom Netz,und formatiert,und nix anderes! Man kann nicht genau sagen,was der Trojaner noch alles verändert hat auf deinem System,das sehen wir hier nicht,und lässt sich nur sehr schwer feststellen. Deine Haltung ist unakzeptabel,du wolltest doch hier Hilfe,oder? Die hast du nun bekommen,und ich glaube hier auf dem Board wird dir niemand anderer was gegenteiliges sagen.... |
Iss ja gut.... Nur die Ruhe..... Sorry, ich bin nich so der Virenexperte und hatte in über 10 Jahren PC-Userzugehörigkeit und mind. 8 Jahren Internet noch nie Probleme mit Viren oder ähnlichem, weil ich nämlich immer darauf achte, daß das System sicher ist. deswegen benutze ich ja auch Mozilla und Thunderbird oder Zonealarm und hab XPAntispy drauf etc. ... Meine Haltung ist nicht, daß ich das nicht will sondern wollte nur nochmal nachfragen, ob es wirklich nötig ist, mit soooo großen kanonen zu schießen.... Im übrigen hab ich den Bericht nicht gelesen, stimmt..., ich habe ihn mal überflogen, um nen ersten eindruck zu bekommen!! Das hat mit meiner Haltung überhaupt nix zu tun, dazu kenn ich den Trojaner nich, um dazu ne Haltung zu haben... ganz einfach! Trotzdem vielen Dank für die Hilfe.. Vor allem dieses Online-Filecheck-page hab ich mir mal gebookmart, klasse Teil!! Ich werd dann mal demnächst zur tat schreiten, wenn ich mal Zeit hab für das Unternehmen... Der Mc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board