Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Media Player öffnet sich von selbst (https://www.trojaner-board.de/36657-media-player-oeffnet-selbst.html)

Michael64 27.02.2007 00:03
Media Player öffnet sich von selbst
 
Seit kurzer Zeit öffnet sich mein Media Player selbsttätig. Wenn man ihn schliesst springt er sofort wieder auf. Erst war das mit WinAmp der Fall. Nach deinstallation mit dem Windows Media Player.
Angefangen hat das Ganze damit das mein Avast Antivirus nicht mehr funktionierte. Es kann weder de- noch neu installiert werden. Bei Windows Start kommen folgende Fehlermeldungen: ashdisp.exe nicht gefunden und launch~1.exe nicht gefunden.

Hier das Hijackthis File. Kann mir jemand helfen? Vielen Dank schon mal.

Logfile of HijackThis v1.99.1
Scan saved at 23:40:24, on 26.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\AvidSDMService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\iRiver\HSeries\iHPDetect.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Gemeinsame Dateien\DataViz\DvzIncMsgr.exe
C:\Programme\Palm\Hotsync.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://www.aldi.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h..p://www.aldi.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\HSeries\iHPDetect.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Programme\Gemeinsame Dateien\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\Hotsync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=h..p://www.aldi.com/
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://F:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://F:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://F:\components\wmvhdrating.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC32E40C-7D6A-4C7B-8C3B-8923F7D8B79E}: NameServer = 217.237.151.115 217.237.149.205
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe
O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

undoreal 27.02.2007 18:07
Halli hallo.

Das hört sich nicht gut an und sieht auch net gut aus...

Mach mal bitte folgendes:

Scanne dein System hiermit und poste das logfile auch wenn nichts gefunden wurde.

Danach:

Sauge dir diese Tool DIREKT AUF EINEN USB-STICK und starte es von dort aus.
Update das Proggit.
Starte den Compputer im abgesicherten Modus (F8 beim Hochfahren) und starte das Tool.
Haken in den scan Optionen bei:
-Speicher
-Festplatten -> alle lokalen Festplatten
-Registrierung
-System Folders
-Services
-Alle Dateien durchsuchen

Dann machst du einen scan und postest das Ergebnis mit Hilfe der find.bat wie in der Anleitung zu MWAVE in meiner Signatur.

Viel Erfolg

Undoreal

Michael64 28.02.2007 00:29
Hallo Undoreal,
danke dass du dich dem Problem widmest.

Hier schon mal Step 1, das Logfile von F-Secure:

02/28/07 00:18:02 [Info]: BlackLight Engine 1.0.55 initialized
02/28/07 00:18:02 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/28/07 00:18:02 [Note]: 7019 4
02/28/07 00:18:02 [Note]: 7005 0
02/28/07 00:18:05 [Note]: 7006 0
02/28/07 00:18:05 [Note]: 7011 3684
02/28/07 00:18:05 [Note]: 7026 0
02/28/07 00:18:06 [Note]: 7026 0
02/28/07 00:18:24 [Note]: FSRAW library version 1.7.1021
02/28/07 00:24:32 [Note]: 2000 1012
02/28/07 00:27:36 [Note]: 7007 0

Step 2 mache ich gleich noch.
Vielleicht gibts ja doch Hoffnung.

Michael64 28.02.2007 08:46
Hallo lieber Helfer,
hier noch das gewünschte Log von e-sacn. Das Problem mit Media Player ist jetzt schon weg. Nur noch launch~.exe und ashdisp.exe beim Startup. Ist das schon ein Teilerfolg?

b]Header[/b]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
>
Wed Feb 28 00:51:12 2007 => Virus Database Date: 2/27/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 28 00:48:58 2007 => System found infected with grokster Spyware/Adware (news.htm)! Action taken: Entries Removed.
Wed Feb 28 00:48:58 2007 => System found infected with grokster Spyware/Adware (news.htm)! Action taken: Entries Removed.
Wed Feb 28 00:48:59 2007 => System found infected with w32/hllp.philis.ini Virus (C:\WINDOWS\logo1_.exe)! Action taken: Entries Removed.
Wed Feb 28 00:49:00 2007 => System found infected with kraze.b Virus (C:\WINDOWS\rundll16.exe)! Action taken: Entries Removed.
Wed Feb 28 00:49:00 2007 => System found infected with w32/hllp.philis.ini Virus (C:\WINDOWS\rundl132.dll)! Action taken: Entries Removed.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Wed Feb 28 00:48:58 2007 => Offending file found: C:\DOKUME~1\ALLUSE~1\ANWEND~1\t-online\T-ONLI~2\browser\help\defhtml\media\news.htm
Wed Feb 28 00:48:58 2007 => Offending file found: C:\DOKUME~1\ALLUSE~1\ANWEND~1\t-online\T-ONLI~2\browser\skin0000\defhtml\media\news.htm
Wed Feb 28 00:48:59 2007 => Offending file found: C:\WINDOWS\logo1_.exe
Wed Feb 28 00:49:00 2007 => Offending file found: C:\WINDOWS\rundll16.exe
Wed Feb 28 00:49:00 2007 => Offending file found: C:\WINDOWS\rundl132.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Danke für weitere Tipps.

undoreal 28.02.2007 22:54
Hallöle. Das ist auf jeden Fall ein Teilerfolg und eine gute Meldung hinterher. Du hast dir höchst wahrscheinlich keinen Backdoortrojaner eingefangen.
Die "ashdisp.exe" gehört/gehörte zu deinem Avast.
Versuche nun mal bitte Avast zu deinstallieren. Klappt dies nicht bitte danach googeln und verschiedenste Ansätze verfolgen.
Dann brauche ich Informationen zur "launch~.exe". Finde mal bitte heraus WO sich diese Datei befindet und welche DateiGRÖßE sie besitzt. Dann lade sie auf Virustotal.com hoch und poste den kompletten log.

Dann lade dir bitte Killbox und starte das Programm. Füge nun nacheinander die folgenden Dateien ein und klicke auf delet on reboot. Danach wirst du gefragt, ob du neustarten möchtest. Dies Verneinst du bis zur dritten (letzten) Datei. Dann lässt du ihn Neustarten.

"C:\WINDOWS\logo1_.exe"
"C:\WINDOWS\rundll16.exe"
"C:\WINDOWS\rundl132.dll"

Danach lässt du dir bitte alle versteckten und Systemdateien anzeigen, Anleitung googeln, und suchst nach den Dateien.
Findest du sie nicht; erstelle bitte ein neues HJT log und mache einen erneuten eScan.

Viel Erfolg

Undoreal

Michael64 04.03.2007 21:22
Hallo Undoreal,

MEDIAPLAYER KAM DANN DOCH WIEDER UND STÖRTE RUM. Habe mich jetzt zu einer kompletten Neuinstallation auf neuer Platte entschlossen. Und es ist nicht zu fassen. Auch bei einem jungfräulichen Windows kam zunächst wieder der Mediaplayer hoch und lies sich nicht mehr schliessen.
Wie kann denn das sein? Ich hab keinen Schimmer.
Jetzt ist grad ruhe aber wer weiss wann es wieder losgeht.
ibt es Viren die in RAM oder so reingehen und gar nicht mehr wegzukriegen sind.

Danke nochmals für deine Hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19