Hallo!

Seit gestern morgen meldet mir Zonealarm ständig, daß "wmplayer.exe" ins Netz möchte und nach dem Hochfahren des PCs kommt seitdem auch das DFÜ-Fenster und fragt mich, mit welchem Anbieter ich ins Netz möchte. Hab mal nachgeschaut, was das sein könnte und da es sich stark nach dem Wurm W32.HLLW.Gaobot anhört, hab ich mir von Symantec das entsprechende Tool besorgt und gescannt, aber es wurde nichts gefunden. Antivir und Spybot haben ebenfalls nichts gefunden. Was kann das denn jetzt sein und wie bekomm ich das wieder weg? Gibt es noch einen anderen Virus, der sich als wmplayer tarnt? Die wmplayer-Datei lässt sich auch nicht löschen.

Viele Grüße
Asmodina

Hallöchen,

kontrolliere doch mal deine Autostarteinträge auf verdächtige Aktionen. Das kannst du recht bequem wie folgt machen:

Start - Ausführen - msconfig - Systemstart

Falls du unsicher bist was du deaktivieren kannst und was nicht, einfach hier ins Forum posten...

Hallo Dirk!

Im Systemstart finde ich zwei mal den wmplayer. Wie finde ich jetzt raus, welcher falsch ist? Und dann ist da noch eine Datei mit dem Namen "dumprep 0-k", was ist das denn bloß? Außerdem startet jetzt auf einmal automatisch der Media Player, wenn ich den PC hochfahre.

Ich hab mal hijackthis laufen lassen, da kommen mir auch einige Sachen komisch vor, bin aber leider kein Spezialist in sowas, hier ist die logfile:

Logfile of HijackThis v1.97.7
Scan saved at 11:14:45, on 12.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\NVATray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Addons und Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metaspinner.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.metaspinner.de
F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [Neue Anwendung] C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.metaspinner.de
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 2481597222
O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B9DB70C-CF43-4FCC-BF95-40C733F441E2}: NameServer = 212.185.253.136 194.25.2.129

Vielleicht siehst Du ja hier etwas verdächtiges und sagst mir, was ich dann machen soll

Gruß
Asmodina

Hallöchen,

also der wmplayer hat im Autostart überhaupt nichts zu suchen. Deaktiviere mal beide Einträge... Dann aktualisier mal dein Antivirenprogramm oder besser noch mach mal einen Onlinescan:

http://de.trendmicro-europe.com/consumer/products/housecall_pre.php

Dann lad dir eine aktuelle Version von Adaware herunter und scanne damit deinen Rechner...

http://www.lavasoftusa.com/german/support/download/

Wenn du folgendes in der Registry findest: LOESCHEN

Las entradas que agrega en el registro son las siguientes:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Media Player = wmplayer.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Media Player = wmplayer.exe


Im abgesicherten Modus diese Datei loeschen : (mit dem Hijackthis)


O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab


mFg
Nikita

Hallo!

Die beiden Autostart-Einträge habe ich gelöscht.

Der Housecall-Scanner hat folgenden Trojaner gefunden: TROJ/MUSS.A, leider hab ich über diesen aber kaum etwas im Net gefunden, kennt den von Euch jemand? Ich frage mich, warum weder Antivir noch Spybot den gefunden haben...

Ad Aware hat folgenden Reg-Eintrag gefunden:

Reg Key
HKEY_LOCAL_MACHINE
SOFTWARE\Microsoft\Code Store Database\Distribution Units\{BD11A280-2E73-11CF-B6CF-00AA00A74DAE}

Leider weiß ich nicht, was das zu bedeuten hat und ob ich das wirklich löschen soll, kann da vielleicht jemand weiterhelfen?

Den HijackThis-Eintrag werde ich dann jetzt auch sofort mal löschen.

Vielen Dank schon mal für die bisherige Hilfe
Asmo

Was der AdAware gefunden hat
O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab

ist spyware.

Loeschen ! oder mit dem AdAware oder dem HijackThis.

Schau mal in der Registry unter den Schluesseln, die ich dir gepostet habe, ob die
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Media Player = wmplayer.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Media Player = wmplayer.exe

noch dort sind.
Wenn ja...loeschen !

MfG
Nikita

Hi Nikita!

Die Reg.-Einträge sind weg, die Spyware hab ich entfernt und diese wmplayer-Datei ist auch nicht mehr da...Ich hoffe, das war es dann auch erst mal...

Danke für Eure Hilfe und viele Grüße
Asmo