Media Player gehighjackt

Dieses Thema im Forum "Sicherheit" wurde erstellt von K7stefanra, 17. April 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. K7stefanra

    K7stefanra Byte

    Registriert seit:
    10. Oktober 2002
    Beiträge:
    11
    Hallo,

    ich habe mir eine Datei names bundlekillah.exe eingefangen, die wohl meinen Windows Media Player gehighjackt hat.

    Jedes Mal wenn ich den Media Player starte, sagt mir Zone Alarm, dass dieser ins Internet möchte. Wenn ich ihn das machen lassen, möchte kurz danach auch bundlekillah.exe ins Internet.

    Es ist unmöglich diese exe zu löschen.

    Bitte helft mir


    Stefen
     
  2. Gast

    Gast Guest

    Indem du sie mit einem Texteditor wie Notepad öffnest und alles entfernst, bis auf die Zeile
    127.0.0.1 localhost
    Sollte der Rechner in einem LAN hängen und in der HOSTS auch Namen und lokale IPs der anderen Netzwerkrechner stehen, dürfen die natürlich bleiben.
    Daran, dass noch immer Schadcode ausgeführt wird.
    Es wäre wohl ratsam, den Rechner neu aufzusetzen.
     
  3. K7stefanra

    K7stefanra Byte

    Registriert seit:
    10. Oktober 2002
    Beiträge:
    11
    Vielen Dank,

    das mit dem Fixen hat geklappt,
    ich habe jetzt nur noch 2 Fragen:

    1) Wie entleere ich die Datei Hosts?

    2) Seit dem Highjacken des MediaPlayers läuft mein IE super langsam, d.h. wenn ich über einen Hyperlink gehe, dauert es fast eine Sekunde bis dieser gehighlightet ist und beim Makieren vom Text auf einer Website kommt die dunkle Markierung erst zeitverzögert.

    Woran könnte das liegen?


    Gruß
    Stef.
     
  4. Gast

    Gast Guest

    Sollte dir nicht klar sein, wie der WMP mit URLs umgeht und welche Rendering-Engine da zum Tragen kommt?
    Und sollte dir entgangen sein, dass hier Toolbars identifiziert wurden, die für den IE bestimmt sind?
     
  5. Gast

    Gast Guest

    Diesmal war es aber der Media-Player, der hat leider seine eigene Lücken die man vielleicht mal schließen sollte.

    mfg.dedie:D
     
  6. Gast

    Gast Guest

    Fixen bedeutet, vor dem Eintrag im Kästchen bei Hijackthis ein Häkchen zu setzen und anschließen den Button [Fix checked] anzuklicken.

    Falls du dich in die Thematik einlesen möchtest:

    http://hjt.klaffke.de
    http://www.eisenheim.de/tipps2/hjt.html

    Durch Fixen der Einträge ist jedoch das Problem nicht erledigt.
    Solange du den IE benutzt, fängst du dir den Kram wieder und wieder.
     
  7. K7stefanra

    K7stefanra Byte

    Registriert seit:
    10. Oktober 2002
    Beiträge:
    11
    Hallo nochmal,

    leider bin ich ja Windows-Laie,

    kann mir jemand erklären
    was ich laut fdisk205 tun soll:

    fdisk205 schrieb mir folgendes:

    hi,
    O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - ms-its:mhtml:file://C:\ss.MHT!http://toolbar.isearch.com/install/...les/initial.cab

    O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\winnt\win.exe

    O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe

    O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} (LIQUIObj Class) -

    Dieses Fixen.
     
  8. K7stefanra

    K7stefanra Byte

    Registriert seit:
    10. Oktober 2002
    Beiträge:
    11
    Hi, kannst du mir bitte genauer erklären, was du mit dieses fixen meinst.

    Was und wie soll ich es fixen??

    Ich bin doch ein Windows-Laie.

    Gruß
     
  9. Gast

    Gast Guest

    natürlich muss auch die Datei HOSTS wieder in Ordnung gebracht, sprich entleert werden, denn im Moment sorgen die Einträge dort dafür, dass du diverse Seiten nicht aufrufen kannst, die sich mit der Bekämpfung von Hijackern befassen.
     
  10. fdisk205

    fdisk205 Byte

    Registriert seit:
    9. April 2004
    Beiträge:
    25
  11. K7stefanra

    K7stefanra Byte

    Registriert seit:
    10. Oktober 2002
    Beiträge:
    11
    Hier ist meine Log von HijackThis:

    Logfile of HijackThis v1.97.7
    Scan saved at 08:45:16, on 18.04.2004
    Platform: Windows 2000 SP3 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\ZONELABS\vsmon.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\mspmspsv.exe
    C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
    C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINNT\system32\internat.exe
    C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
    D:\downloads\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://de.yahoo.com/
    O1 - Hosts: 127.0.0.0 localhost
    O1 - Hosts: 127.0.0.2 auditmypc.com
    O1 - Hosts: 127.0.0.3 boards.cexx.org
    O1 - Hosts: 127.0.0.4 bulletproofsoft.net
    O1 - Hosts: 127.0.0.5 camtech2000.net
    O1 - Hosts: 127.0.0.6 cexx.org
    O1 - Hosts: 127.0.0.7 computercops.us
    O1 - Hosts: 127.0.0.8 ct7support.com
    O1 - Hosts: 127.0.0.9 doxdesk.com
    O1 - Hosts: 127.0.0.20 kellys-korner-xp.com
    O1 - Hosts: 127.0.0.21 kephyr.com
    O1 - Hosts: 127.0.0.22 lavasoft.de
    O1 - Hosts: 127.0.0.23 lavasoftusa.com
    O1 - Hosts: 127.0.0.24 lurkhere.com
    O1 - Hosts: 127.0.0.25 majorgeeks.com
    O1 - Hosts: 127.0.0.26 merijn.org
    O1 - Hosts: 127.0.0.27 mjc1.com
    O1 - Hosts: 127.0.0.28 moosoft.com
    O1 - Hosts: 127.0.0.29 mvps.org
    O1 - Hosts: 127.0.0.30 net-integration.net
    O1 - Hosts: 127.0.0.31 noadware.net
    O1 - Hosts: 127.0.0.32 no-spybot.com
    O1 - Hosts: 127.0.0.33 onlinepcfix.com
    O1 - Hosts: 127.0.0.34 pchell.com
    O1 - Hosts: 127.0.0.35 pestpatrol.com
    O1 - Hosts: 127.0.0.36 safer-networking.org
    O1 - Hosts: 127.0.0.37 secure.spykiller.com
    O1 - Hosts: 127.0.0.38 secureie.com
    O1 - Hosts: 127.0.0.39 security.kolla.de
    O1 - Hosts: 127.0.0.40 spybot.info
    O1 - Hosts: 127.0.0.41 spychecker.com
    O1 - Hosts: 127.0.0.42 spychecker.com
    O1 - Hosts: 127.0.0.43 spycop.com
    O1 - Hosts: 127.0.0.44 spyguard.com
    O1 - Hosts: 127.0.0.45 spykiller.com
    O1 - Hosts: 127.0.0.46 spyware.co.uk
    O1 - Hosts: 127.0.0.47 spyware-cop.com
    O1 - Hosts: 127.0.0.49 spywarenuker.com
    O1 - Hosts: 127.0.0.50 spywareremove.com
    O1 - Hosts: 127.0.0.51 spywareremove.com
    O1 - Hosts: 127.0.0.52 stopzillapro.com
    O1 - Hosts: 127.0.0.53 sunbelt-software.com
    O1 - Hosts: 127.0.0.54 thiefware.com
    O1 - Hosts: 127.0.0.55 tomcoyote.org
    O1 - Hosts: 127.0.0.56 unwantedlinks.com
    O1 - Hosts: 127.0.0.57 webattack.com
    O1 - Hosts: 127.0.0.58 wilders.org
    O1 - Hosts: 127.0.0.59 www.auditmypc.com
    O1 - Hosts: 127.0.0.60 www.bulletproofsoft.net
    O1 - Hosts: 127.0.0.61 www.cexx.org
    O1 - Hosts: 127.0.0.62 www.computercops.us
    O1 - Hosts: 127.0.0.63 www.ct7support.com
    O1 - Hosts: 127.0.0.64 www.doxdesk.com
    O1 - Hosts: 127.0.0.65 www.eblocs.com
    O1 - Hosts: 127.0.0.66 www.enigmasoftwaregroup.com
    O1 - Hosts: 127.0.0.67 www.free-spyware-scan.com
    O1 - Hosts: 127.0.0.68 www.free-web-browsers.com
    O1 - Hosts: 127.0.0.69 www.grc.com
    O1 - Hosts: 127.0.0.70 www.grisoft.com
    O1 - Hosts: 127.0.0.71 www.hackfaq.org
    O1 - Hosts: 127.0.0.72 www.hazeleger.net
    O1 - Hosts: 127.0.0.73 www.javacoolsoftware.com
    O1 - Hosts: 127.0.0.74 www.kellys-korner-xp.com
    O1 - Hosts: 127.0.0.75 www.kephyr.com
    O1 - Hosts: 127.0.0.76 www.lavasoft.de
    O1 - Hosts: 127.0.0.77 www.lavasoftusa.com
    O1 - Hosts: 127.0.0.78 www.lurkhere.com
    O1 - Hosts: 127.0.0.79 www.majorgeeks.com
    O1 - Hosts: 127.0.0.80 www.merijn.org
    O1 - Hosts: 127.0.0.81 www.mjc1.com
    O1 - Hosts: 127.0.0.82 www.moosoft.com
    O1 - Hosts: 127.0.0.83 www.mvps.org
    O1 - Hosts: 127.0.0.84 www.net-integration.net
    O1 - Hosts: 127.0.0.85 www.noadware.net
    O1 - Hosts: 127.0.0.86 www.no-spybot.com
    O1 - Hosts: 127.0.0.87 www.onlinepcfix.com
    O1 - Hosts: 127.0.0.88 www.pchell.com
    O1 - Hosts: 127.0.0.89 www.pestpatrol.com
    O1 - Hosts: 127.0.0.90 www.safer-networking.org
    O1 - Hosts: 127.0.0.91 www.secureie.com
    O1 - Hosts: 127.0.0.92 www.security.kolla.de
    O1 - Hosts: 127.0.0.93 www.spybot.info
    O1 - Hosts: 127.0.0.94 www.spychecker.com
    O1 - Hosts: 127.0.0.95 www.spychecker.com
    O1 - Hosts: 127.0.0.96 www.spycop.com
    O1 - Hosts: 127.0.0.97 www.spyguard.com
    O1 - Hosts: 127.0.0.98 www.spykiller.com
    O1 - Hosts: 127.0.0.99 www.spyware.co.uk
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
    O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} (LIQUIObj Class) -
    O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
    O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\winnt\win.exe
    O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - ms-its:mhtml:file://C:\ss.MHT!http://toolbar.isearch.com/install/00002/chm.chm::/files/initial.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38028.0892361111
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash/cabs/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4BD2C4A6-3E66-4655-9060-75AF34A66BD8}: NameServer = 217.2.112.21,194.25.2.129
    O17 - HKLM\System\CCS\Services\Tcpip\..\{92970AF1-A0E0-41D9-BE83-64D9EF0D8DA4}: NameServer = 217.5.112.21,194.25.2.129
    O17 - HKLM\System\CS1\Services\Tcpip\..\{4BD2C4A6-3E66-4655-9060-75AF34A66BD8}: NameServer = 217.2.112.21,194.25.2.129
    O17 - HKLM\System\CS2\Services\Tcpip\..\{4BD2C4A6-3E66-4655-9060-75AF34A66BD8}: NameServer = 217.2.112.21,194.25.2.129
    O19 - User stylesheet: C:\WINNT\win32.bmp

    Kann jemand damit was anfangen??

    gruß
    Stefen
     
  12. Gast

    Gast Guest

    Falsch.
    Ich weiß sehr wohl, was du meinst und es klingt in der neuen Formulierung auch verlockend schlüssig, aber es bleibt dabei:
    Namen sind Schall und Rauch.
    Wenn die Datei nun nicht bundlekillah.exe sondern regsvc.exe geheißen hätte, wie hättest du dann reagiert?
    Wäre diese Datei dann weniger verdächtig?
     
  13. Hummer

    Hummer Megabyte

    Registriert seit:
    21. November 2002
    Beiträge:
    2.241
  14. Gast

    Gast Guest

    Deine Reihenfolge stimmt nicht:
    1. OP stellt fest, dass ihm unbekannte Exe unerwünschter Weise funken will.
    2. Das Teil hat einen Slang-Namen (ich bitte dich, welche Datei soll "bundlekillah" heißen?).

    Der Name ist daher m. E. durchaus ein ergänzendes Indiz für Malware.
     
  15. Gast

    Gast Guest

  16. Gast

    Gast Guest

    Seit wann spielen Dateinamen bei der Beurteilung eine Rolle?
    Entscheidend ist nur, dass der OP offensichtlich nicht weiß, woher das Teil kommt und wozu es dient, aber feststellt, dass es eine Internetverbindung wünscht.
     
  17. Gast

    Gast Guest

    Hallo,

    bundlekillah.exe ? Habe ich noch nie gehört. Versuche mal ein paar mehr Infos per Google zu finden.

    Jedenfalls hört sich der Name der Datei nicht sonderlich vertrauenserweckend an.

    Ansonsten das übliche Procedere: Ad-aware, Spybot, Cwshredder und Antiviren-Programm drüberlaufen lassen. Wenn's nichts bringt, stelle vorübergehend die Systemwiederherstellung ab, boote im abgesicherten Modus, kille ggf. den Prozeß per Task-Manager, suche die Datei und versuche sie zu löschen.

    Aber wie Steele schon sagt, es bleibt auch nach dem Löschen ein Unbehagen, da du nicht weißt, was die Exe so alles angestellt hat.
     
  18. Gast

    Gast Guest

    Unmöglich ist es nur, solange der entsprechende Prozess im Hintergrund läuft. Den kann man (mit Glück) im Taskmanager oder besser mit einem gesonderten Prozess-Killer beenden.
    Da du aber nicht weißt, was diese EXE noch alles installiert und manipuliert hat, ist das Löschen der Datei nicht ausreichend.
    BTW: Falls entsprechende Features des Mediaplayers (z.B. Codec-Download) nicht von dir explizit deaktiviert wurden, kann es durchaus auch legale Gründe geben, warum dein MP ins Netz will.
    Die andere EXE allerdings wird kaum legale Gründe haben, denn die müssten dir ja bekannt sein, was wohl nicht so ist.
    EINGEFANGEN hast du sie dir allerdings nicht. Du hast sie heruntergeladen und selbst installiert oder von einem Programm installieren lassen, dem du dies erlaubt hast, z.B. dem Internet Explorer.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen