Trojaner-Board - Windows Media Player - immer wieder im Autostart

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows Media Player - immer wieder im Autostart (https://www.trojaner-board.de/19078-windows-media-player-immer-autostart.html)

Windows Media Player - immer wieder im Autostart

Moin,

folgendes Problem: bei jedem Systemstart startet auch der Windows Media Player. Im Autostart kann ich das Häkchen beim WMP zwar entfernen, aber nach dem nächsten Neustart lädt das Programm trotzdem und auch das Häkchen im Autostart ist wieder gesetzt. Muss also irgendein Parasit sein, der denn WMP immer wieder im Autostart einträgt.

Kann mir wer helfen? :dummguck:

@Don.Philippe
Bitte nach dieser Anleitung vorgehen: http://www.trojaner-board.de/showthread.php?t=17493

Gesagt, getan (war einfacher als ich dachte):

Logfile of HijackThis v1.99.1
Scan saved at 17:31:50, on 19.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe
C:\Programme\Mousometer\mousometer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Tiny Personal Firewall\persfw.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.***.*.*/st_devic.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Eraser] "C:\Programme\Eraser\eraser.exe" -hide
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Microsoft AntiSpyware helper - {4FE90D44-48E7-40E2-B514-FEE32904E16E} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {4FE90D44-48E7-40E2-B514-FEE32904E16E} - (no file) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: h**p://www.neededware.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: **.**.***.***
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe
O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

@Don.Philippe

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Noch einfacher wäre, wenn du schon SP2 drauf hättest ;)

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.***.*.*/st_devic.html
O15 - Trusted IP range: **.**.***.***

Unerkenntlich muss nur der Benutzername sein, Links nur inaktiv
Was soll ich jetzt zu diesen Sternbilder sagen? :confused:

Die kannst du aber ruhig fixen.

Zitat:

O15 - Trusted Zone: h**p://www.neededware.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)

Okeee, dein Kommentar zeigt mir mal wieder, dass ich noch viel weniger Ahnung habe, als ich immer denke :o

1. SP2 hatte ich schon mal drauf - hatte nur Probleme damit, also wieder entfernt.

2. Bei der Trusted IP-Range hat mich das "IP" schon dazu gebracht, das ganze zu zensieren ^^

3. Was meinst du mit "fixen"? Was soll ich wie wo fixen?

Danke für deine Hilfe :)

Zitat:

3. Was meinst du mit "fixen"? Was soll ich wie wo fixen?

Aus der Anleitung...

Zitat:

Einsetzen von HJT – Einträge fixen:

Die Auswertung ist nun abgeschlossen und die verdächtigen Einträge sollten im abgesicherten Modus bei deaktivierter Systemwiederherstellung wie folgt entfernt werden -> Vor den genannten Einträgen einen Haken setzen und auf 'Fix Checked' klicken.

Also,

hab die Einträge mit HJT gefixt. WMP startet jedoch immer noch - ist nun allerdings schon nicht mehr im Autostart vermerkt.