Media Player gehighjackt

Hallo,

ich habe mir eine Datei names bundlekillah.exe eingefangen, die wohl meinen Windows Media Player gehighjackt hat.

Jedes Mal wenn ich den Media Player starte, sagt mir Zone Alarm, dass dieser ins Internet möchte. Wenn ich ihn das machen lassen, möchte kurz danach auch bundlekillah.exe ins Internet.

Es ist unmöglich diese exe zu löschen.

Bitte helft mir


Stefen

 

Indem du sie mit einem Texteditor wie Notepad öffnest und alles entfernst, bis auf die Zeile
127.0.0.1 localhost
Sollte der Rechner in einem LAN hängen und in der HOSTS auch Namen und lokale IPs der anderen Netzwerkrechner stehen, dürfen die natürlich bleiben.

Daran, dass noch immer Schadcode ausgeführt wird.
Es wäre wohl ratsam, den Rechner neu aufzusetzen.

 

Vielen Dank,

das mit dem Fixen hat geklappt,
ich habe jetzt nur noch 2 Fragen:

1) Wie entleere ich die Datei Hosts?

2) Seit dem Highjacken des MediaPlayers läuft mein IE super langsam, d.h. wenn ich über einen Hyperlink gehe, dauert es fast eine Sekunde bis dieser gehighlightet ist und beim Makieren vom Text auf einer Website kommt die dunkle Markierung erst zeitverzögert.

Woran könnte das liegen?


Gruß
Stef.

 

Sollte dir nicht klar sein, wie der WMP mit URLs umgeht und welche Rendering-Engine da zum Tragen kommt?
Und sollte dir entgangen sein, dass hier Toolbars identifiziert wurden, die für den IE bestimmt sind?

 

Diesmal war es aber der Media-Player, der hat leider seine eigene Lücken die man vielleicht mal schließen sollte.

mfg.dedie

 

Fixen bedeutet, vor dem Eintrag im Kästchen bei Hijackthis ein Häkchen zu setzen und anschließen den Button [Fix checked] anzuklicken.

Falls du dich in die Thematik einlesen möchtest:

http://hjt.klaffke.de
http://www.eisenheim.de/tipps2/hjt.html

Durch Fixen der Einträge ist jedoch das Problem nicht erledigt.
Solange du den IE benutzt, fängst du dir den Kram wieder und wieder.

 

Hallo nochmal,

leider bin ich ja Windows-Laie,

kann mir jemand erklären
was ich laut fdisk205 tun soll:

fdisk205 schrieb mir folgendes:

hi,
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - ms-its:mhtml:file://C:\ss.MHT!http://toolbar.isearch.com/install/...les/initial.cab

O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\winnt\win.exe

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe

O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} (LIQUIObj Class) -

Dieses Fixen.

 

Hi, kannst du mir bitte genauer erklären, was du mit dieses fixen meinst.

Was und wie soll ich es fixen??

Ich bin doch ein Windows-Laie.

Gruß

 

natürlich muss auch die Datei HOSTS wieder in Ordnung gebracht, sprich entleert werden, denn im Moment sorgen die Einträge dort dafür, dass du diverse Seiten nicht aufrufen kannst, die sich mit der Bekämpfung von Hijackern befassen.

 

hi,
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - ms-its:mhtml:file://C:\ss.MHT!http://toolbar.isearch.com/install/...les/initial.cab

O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\winnt\win.exe

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe

O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} (LIQUIObj Class) -

Dieses Fixen.

die Internat.exe bitte Prüfen.
www.kaspersky.com/de/

solong...

 

Hier ist meine Log von HijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 08:45:16, on 18.04.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
D:\downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://de.yahoo.com/
O1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.2 auditmypc.com
O1 - Hosts: 127.0.0.3 boards.cexx.org
O1 - Hosts: 127.0.0.4 bulletproofsoft.net
O1 - Hosts: 127.0.0.5 camtech2000.net
O1 - Hosts: 127.0.0.6 cexx.org
O1 - Hosts: 127.0.0.7 computercops.us
O1 - Hosts: 127.0.0.8 ct7support.com
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.20 kellys-korner-xp.com
O1 - Hosts: 127.0.0.21 kephyr.com
O1 - Hosts: 127.0.0.22 lavasoft.de
O1 - Hosts: 127.0.0.23 lavasoftusa.com
O1 - Hosts: 127.0.0.24 lurkhere.com
O1 - Hosts: 127.0.0.25 majorgeeks.com
O1 - Hosts: 127.0.0.26 merijn.org
O1 - Hosts: 127.0.0.27 mjc1.com
O1 - Hosts: 127.0.0.28 moosoft.com
O1 - Hosts: 127.0.0.29 mvps.org
O1 - Hosts: 127.0.0.30 net-integration.net
O1 - Hosts: 127.0.0.31 noadware.net
O1 - Hosts: 127.0.0.32 no-spybot.com
O1 - Hosts: 127.0.0.33 onlinepcfix.com
O1 - Hosts: 127.0.0.34 pchell.com
O1 - Hosts: 127.0.0.35 pestpatrol.com
O1 - Hosts: 127.0.0.36 safer-networking.org
O1 - Hosts: 127.0.0.37 secure.spykiller.com
O1 - Hosts: 127.0.0.38 secureie.com
O1 - Hosts: 127.0.0.39 security.kolla.de
O1 - Hosts: 127.0.0.40 spybot.info
O1 - Hosts: 127.0.0.41 spychecker.com
O1 - Hosts: 127.0.0.42 spychecker.com
O1 - Hosts: 127.0.0.43 spycop.com
O1 - Hosts: 127.0.0.44 spyguard.com
O1 - Hosts: 127.0.0.45 spykiller.com
O1 - Hosts: 127.0.0.46 spyware.co.uk
O1 - Hosts: 127.0.0.47 spyware-cop.com
O1 - Hosts: 127.0.0.49 spywarenuker.com
O1 - Hosts: 127.0.0.50 spywareremove.com
O1 - Hosts: 127.0.0.51 spywareremove.com
O1 - Hosts: 127.0.0.52 stopzillapro.com
O1 - Hosts: 127.0.0.53 sunbelt-software.com
O1 - Hosts: 127.0.0.54 thiefware.com
O1 - Hosts: 127.0.0.55 tomcoyote.org
O1 - Hosts: 127.0.0.56 unwantedlinks.com
O1 - Hosts: 127.0.0.57 webattack.com
O1 - Hosts: 127.0.0.58 wilders.org
O1 - Hosts: 127.0.0.59 www.auditmypc.com
O1 - Hosts: 127.0.0.60 www.bulletproofsoft.net
O1 - Hosts: 127.0.0.61 www.cexx.org
O1 - Hosts: 127.0.0.62 www.computercops.us
O1 - Hosts: 127.0.0.63 www.ct7support.com
O1 - Hosts: 127.0.0.64 www.doxdesk.com
O1 - Hosts: 127.0.0.65 www.eblocs.com
O1 - Hosts: 127.0.0.66 www.enigmasoftwaregroup.com
O1 - Hosts: 127.0.0.67 www.free-spyware-scan.com
O1 - Hosts: 127.0.0.68 www.free-web-browsers.com
O1 - Hosts: 127.0.0.69 www.grc.com
O1 - Hosts: 127.0.0.70 www.grisoft.com
O1 - Hosts: 127.0.0.71 www.hackfaq.org
O1 - Hosts: 127.0.0.72 www.hazeleger.net
O1 - Hosts: 127.0.0.73 www.javacoolsoftware.com
O1 - Hosts: 127.0.0.74 www.kellys-korner-xp.com
O1 - Hosts: 127.0.0.75 www.kephyr.com
O1 - Hosts: 127.0.0.76 www.lavasoft.de
O1 - Hosts: 127.0.0.77 www.lavasoftusa.com
O1 - Hosts: 127.0.0.78 www.lurkhere.com
O1 - Hosts: 127.0.0.79 www.majorgeeks.com
O1 - Hosts: 127.0.0.80 www.merijn.org
O1 - Hosts: 127.0.0.81 www.mjc1.com
O1 - Hosts: 127.0.0.82 www.moosoft.com
O1 - Hosts: 127.0.0.83 www.mvps.org
O1 - Hosts: 127.0.0.84 www.net-integration.net
O1 - Hosts: 127.0.0.85 www.noadware.net
O1 - Hosts: 127.0.0.86 www.no-spybot.com
O1 - Hosts: 127.0.0.87 www.onlinepcfix.com
O1 - Hosts: 127.0.0.88 www.pchell.com
O1 - Hosts: 127.0.0.89 www.pestpatrol.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} (LIQUIObj Class) -
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\winnt\win.exe
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - ms-its:mhtml:file://C:\ss.MHT!http://toolbar.isearch.com/install/00002/chm.chm::/files/initial.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38028.0892361111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BD2C4A6-3E66-4655-9060-75AF34A66BD8}: NameServer = 217.2.112.21,194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{92970AF1-A0E0-41D9-BE83-64D9EF0D8DA4}: NameServer = 217.5.112.21,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{4BD2C4A6-3E66-4655-9060-75AF34A66BD8}: NameServer = 217.2.112.21,194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{4BD2C4A6-3E66-4655-9060-75AF34A66BD8}: NameServer = 217.2.112.21,194.25.2.129
O19 - User stylesheet: C:\WINNT\win32.bmp

Kann jemand damit was anfangen??

gruß
Stefen

 

Falsch.
Ich weiß sehr wohl, was du meinst und es klingt in der neuen Formulierung auch verlockend schlüssig, aber es bleibt dabei:
Namen sind Schall und Rauch.
Wenn die Datei nun nicht bundlekillah.exe sondern regsvc.exe geheißen hätte, wie hättest du dann reagiert?
Wäre diese Datei dann weniger verdächtig?

 

@K7stefanra

Okok, hilft auch nicht wirklich.....
Klingt eher Sch*****



http://computercops.info/postt30230.html

(Habt ihr doch auch ergoogelt, gelle?)

Gruss
Hummer

 

Deine Reihenfolge stimmt nicht:
1. OP stellt fest, dass ihm unbekannte Exe unerwünschter Weise funken will.
2. Das Teil hat einen Slang-Namen (ich bitte dich, welche Datei soll "bundlekillah" heißen?).

Der Name ist daher m. E. durchaus ein ergänzendes Indiz für Malware.

 

Hallo!

Hier die Links:

Ad-Aware
Spybot
CWShredder

Und poste mal die LOG von

HiJackThis

 

Seit wann spielen Dateinamen bei der Beurteilung eine Rolle?
Entscheidend ist nur, dass der OP offensichtlich nicht weiß, woher das Teil kommt und wozu es dient, aber feststellt, dass es eine Internetverbindung wünscht.

 

Hallo,

bundlekillah.exe ? Habe ich noch nie gehört. Versuche mal ein paar mehr Infos per Google zu finden.

Jedenfalls hört sich der Name der Datei nicht sonderlich vertrauenserweckend an.

Ansonsten das übliche Procedere: Ad-aware, Spybot, Cwshredder und Antiviren-Programm drüberlaufen lassen. Wenn's nichts bringt, stelle vorübergehend die Systemwiederherstellung ab, boote im abgesicherten Modus, kille ggf. den Prozeß per Task-Manager, suche die Datei und versuche sie zu löschen.

Aber wie Steele schon sagt, es bleibt auch nach dem Löschen ein Unbehagen, da du nicht weißt, was die Exe so alles angestellt hat.

 

Unmöglich ist es nur, solange der entsprechende Prozess im Hintergrund läuft. Den kann man (mit Glück) im Taskmanager oder besser mit einem gesonderten Prozess-Killer beenden.
Da du aber nicht weißt, was diese EXE noch alles installiert und manipuliert hat, ist das Löschen der Datei nicht ausreichend.
BTW: Falls entsprechende Features des Mediaplayers (z.B. Codec-Download) nicht von dir explizit deaktiviert wurden, kann es durchaus auch legale Gründe geben, warum dein MP ins Netz will.
Die andere EXE allerdings wird kaum legale Gründe haben, denn die müssten dir ja bekannt sein, was wohl nicht so ist.
EINGEFANGEN hast du sie dir allerdings nicht. Du hast sie heruntergeladen und selbst installiert oder von einem Programm installieren lassen, dem du dies erlaubt hast, z.B. dem Internet Explorer.