Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: rätselhafter Eintrag vom wmp

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 05.03.2008, 12:25   #1
zado717
 
rätselhafter Eintrag vom wmp - Frage

rätselhafter Eintrag vom wmp



Hallo,
ich habe einen Hijackths Scan gemacht und ausgewertet dabei wurde der Eintrag: O4 - Startup: Windows Media Player.lnk = C:\Program Files\Windows Media Player\wmplayer.exe als böse identifiziert, dazu die Seite:
Unbedingt fixen! Added by the KELVIR.G WORM or variants! Note - this is not the valid Windows Media Player as the executeable resides is C:WindowsSystem (Win9x/Me).

Als Kommentar steht dann allerdings noch:
12.04.2006 - Only dangerous if you have not manually added Windows Media Player to your startup folder on purpose.
Ich habe den Mediaplayer allerdings zum Autostart hinzugefügt.
Und wenn ich den wmp aus dem Autostartordner lösche ist auch
der Eintrag weg. Was stimmt also jetzt?
Achja was mir grad noch aufgefallen ist was sol das File Missing im letzten Eintrag?


Logfile of HijackThis v1.99.1
Scan saved at 12:13:23, on 05.03.2008
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)


Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Windows\ehome\ehtray.exe
D:\Programme\Free Download Manager\fdm.exe
D:\Programme\SetPoint\SetPoint.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Users\sven\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\wuauclt.exe
C:\Users\sven\Desktop\Windows Media Player\WMPSideShowGadget.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\WinRAR\WinRAR.exe
D:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Programme\WinRAR\WinRAR.exe
C:\Users\sven\AppData\Local\Temp\Rar$EX00.794\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programme\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Free Download Manager] "D:\Programme\Free Download Manager\fdm.exe" -autorun
O4 - Startup: Windows Media Player.lnk = C:\Program Files\Windows Media Player\wmplayer.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\SetPoint\SetPoint.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlfvideo.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{36B37F11-E096-4308-AD71-474E17DA15BD}: NameServer = 213.191.74.11 213.191.92.82
O20 - Winlogon Notify: igfxcui - C:\Windows\SYSTEM32\igfxdev.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Grüße
zado717

Alt 05.03.2008, 13:50   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
rätselhafter Eintrag vom wmp - Cool

rätselhafter Eintrag vom wmp



Das HJT-Logfile ist so gut wie unbrauchbar da es eine veraltete Version und mit Vista weitgehend inkompatibel ist. Erstell ein neues Logfile mit Hilfe dieser umbenannten hijackthis.exe
__________________

__________________

Alt 05.03.2008, 20:26   #3
zado717
 
rätselhafter Eintrag vom wmp - Standard

rätselhafter Eintrag vom wmp



So hier nochmal das neue Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:23:07, on 05.03.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\RtHDVCpl.exe
D:\Programme\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Windows\system32\igfxsrvc.exe
D:\Programme\Empowering Technology\ENET\ENMTRAY.EXE
D:\Programme\Empowering Technology\EPOWER\EPOWER_DMC.EXE
D:\Programme\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Users\sven\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
D:\PROGRA~1\FREEDO~1\fdm.exe
D:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] D:\Programme\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [Free Download Manager] "D:\Programme\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] "D:\Programme\Free Download Manager\si.exe" -autorun
O4 - Startup: Windows Media Player.lnk = C:\Program Files\Windows Media Player\wmplayer.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlfvideo.htm
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E17C8E3-2FE0-49DC-AB88-92CCA5621D28}: NameServer = 213.191.74.11 213.191.92.82
O20 - AppInit_DLLs: eNetHook.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - D:\Programme\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - D:\Programme\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - D:\Programme\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - D:\Programme\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ePower Service (WMIService) - acer - D:\Programme\Empowering Technology\ePower\ePowerSvc.exe

--
End of file - 4903 bytes
__________________

Alt 05.03.2008, 21:54   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
rätselhafter Eintrag vom wmp - Icon31

rätselhafter Eintrag vom wmp



Also für mich sieht das Log okay aus. Achte mal auf die Userwertung des Mediaplayer-Eintrags:

Zitat:
Only dangerous if you have not manually added Windows Media Player to your startup folder on purpose.
Und du hast den doch selber in den Autostart gesetzt...
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu rätselhafter Eintrag vom wmp
agere systems, bho, bonjour, computer, defender, desktop, download, explorer, firefox, free download, hijack, hijackthis, internet, internet explorer, launch, local\temp, microsoft, mozilla, mozilla firefox, mozilla thunderbird, ordner, programme, scan, software, svchost.exe, temp, unknown file in winsock lsp, windows, windows defender, windowssystem, winlogon, winsock, wmp, worm



Ähnliche Themen: rätselhafter Eintrag vom wmp


  1. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  2. Schädlicher Eintrag?
    Log-Analyse und Auswertung - 20.04.2011 (21)
  3. Rätselhafter Mailversand - Malware.Packer.Gen, Trojan.Patched und Malware.Trace
    Plagegeister aller Art und deren Bekämpfung - 03.11.2010 (25)
  4. Rätselhafter Prozess deanapi.exe ?
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (13)
  5. Unbekannter Eintrag bei HJT
    Log-Analyse und Auswertung - 27.07.2009 (4)
  6. merkwürdiger HJT-Eintrag
    Log-Analyse und Auswertung - 07.04.2009 (3)
  7. R3 Eintrag was tun damit?
    Log-Analyse und Auswertung - 31.10.2008 (1)
  8. Schädlicher Eintrag???
    Mülltonne - 12.09.2008 (0)
  9. Registry-Eintrag
    Alles rund um Windows - 11.07.2007 (3)
  10. Eintrag Nr.20 was ist das?
    Log-Analyse und Auswertung - 14.04.2007 (2)
  11. O2 - BHO: Eintrag, wassn das?
    Mülltonne - 05.04.2007 (0)
  12. Böser Eintrag im HJT-Log
    Plagegeister aller Art und deren Bekämpfung - 27.08.2006 (1)
  13. Böser Eintrag im HJT-Log
    Mülltonne - 25.08.2006 (1)
  14. Was ist das für ein Eintrag im Logfile?
    Log-Analyse und Auswertung - 15.06.2006 (16)
  15. verschlüsselter win.ini Eintrag
    Plagegeister aller Art und deren Bekämpfung - 30.10.2004 (9)
  16. P2P-Eintrag in Systemsteuerung
    Plagegeister aller Art und deren Bekämpfung - 18.10.2003 (5)

Zum Thema rätselhafter Eintrag vom wmp - Hallo, ich habe einen Hijackths Scan gemacht und ausgewertet dabei wurde der Eintrag: O4 - Startup: Windows Media Player.lnk = C:\Program Files\Windows Media Player\wmplayer.exe als böse identifiziert, dazu die Seite: - rätselhafter Eintrag vom wmp...
Archiv
Du betrachtest: rätselhafter Eintrag vom wmp auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.