soundman.exe - böse? + pc -> kein sound...-anderer virus?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
20.05.2004, 09:31
...neu hier
Beiträge: 2 |
||
|
||
20.05.2004, 10:32
Member
Beiträge: 36 |
#2
Hi,
ich würde mir da keine Sorgen machen. Das ist eine Datei von Realtek. Habe ich ebenfalls und bin mir zu 100% sicher, dass es sich dabei um keinen Trojaner handelt. Edit Ich habe den Registryeintrag mal probehalber gelöscht. Der Sound funktioniert immer noch. Wie es aussieht, wird die Datei nicht zwingend benötigt. Wenn es also beruhigt, dann kannst Du es genauso machen. Ich werde die SOUNDMAN.EXE mal komplett von der Systempartition entfernen und schauen, ob es dann noch immer keine Nachteile gibt. Edit 2 Man kann die Datei gefahrlos löschen. Alles funktioniert nach wie vor ohne Probleme. __________ Gruss Pan Dieser Beitrag wurde am 20.05.2004 um 10:48 Uhr von Pan editiert.
|
|
|
||
20.05.2004, 11:02
Member
Beiträge: 1122 |
#3
@Chrissy
Fix mal: O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART MFG DAFRA |
|
|
||
20.05.2004, 11:43
...neu hier
Themenstarter Beiträge: 2 |
#4
danke schon mal!!
und wie is des jetzt, wenn der computer keinen "mucks" mehr von sich gibt? kann das an nem virus oder so liegen? |
|
|
||
12.10.2005, 07:07
Member
Beiträge: 15 |
#5
W32/Agobot-JS ist ein Wurm, der sich auf remote Freigaben mit einfachen Kennwörtern kopiert.
Der Wurm kopiert sich als soundman.exe in den Windows-Systemordner. Damit er beim Start aktiviert wird, installiert er sich als Dienst namens "soundman" und erstellt die folgenden Registrierungseinträge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\soundman = soundman.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\soundman = soundman.exe Der Trojaner versucht, verschiedene Antiviren- und Sicherheitsprogramme zu beenden und zu deaktivieren sowie die HOSTS-Datei in <WINDOWS>\System32\Drivers\etc\HOSTS zu ändern und ausgewählte Antiviren-Websites mit der Loopback-Adresse 127.0.0.1 zu verknüpfen, um zu verhindern, dass auf sie zugegriffen werden kann. Folgende Verknüpfungen werden typischerweise an die HOSTS-Datei angehängt: 127.0.0.1 www.grisoft.com 127.0.0.1 www.trendmicro.com 127.0.0.1 trendmicro.com 127.0.0.1 rads.mcafee.com 127.0.0.1 customer.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 updates.symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 www.nai.com 127.0.0.1 nai.com 127.0.0.1 secure.nai.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 my-etrust.com 127.0.0.1 mast.mcafee.com 127.0.0.1 ca.com 127.0.0.1 www.ca.com 127.0.0.1 networkassociates.com 127.0.0.1 www.networkassociates.com 127.0.0.1 avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 kaspersky.com 127.0.0.1 www.f-secure.com 127.0.0.1 f-secure.com 127.0.0.1 viruslist.com 127.0.0.1 www.viruslist.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mcafee.com 127.0.0.1 www.mcafee.com 127.0.0.1 sophos.com 127.0.0.1 www.sophos.com 127.0.0.1 symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 www.symantec.com oder aber: http://www.liutilities.com/products/wintaskspro/processlibrary/soundman/ |
|
|
||
12.10.2005, 14:27
Ehrenmitglied
Beiträge: 29434 |
#6
lantzius
bitte auch immer die Quellen, also wo du das abkopiert hast, mit ins Forum stellen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.10.2005, 14:44
Member
Beiträge: 15 |
#7
Zitat Sabina postetehttp://www.sophos.de/virusinfo/analyses/w32agobotjs.html Da habe ich das her... |
|
|
||
12.10.2005, 14:55
Ehrenmitglied
Beiträge: 29434 |
#8
ja, ich weiss, wo du das her hast, aber wenn man was abkopiert , dann muss man immer auch den Link dazusetzten
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.10.2005, 16:08
Member
Beiträge: 15 |
#9
Zitat Sabina posteteJetzt bin ich verwirrt... ist es nun einer oder nicht ? |
|
|
||
15.10.2007, 12:54
...neu hier
Beiträge: 1 |
#10
hallo.
also wenn du unter start -> ausführen -> msconfig gehst und dir da im systemstart anguggst was alles beim windoofstart gestartet wird, und da nur eine "SOUNDMAN.exe" siehst ohne C: /windows/ bla dann kannst davon ausgehen das es der wurm ist, habs mir auch gefangen... hat denn jemand ne ahnung wie man den wieder runter bekommt? LG dad stev |
|
|
||
15.10.2007, 14:40
Member
Beiträge: 202 |
#11
Ich würde erst mal den Treiber für den sound deinstallieren bzw aktuallisieren dann müssten sich zumindest die boxen wieder mucken.
Und ein virenscann mit aktuellen signatur dateien kann eh net schaden |
|
|
||
hab wieder mal ein problem...
1. hab bei mir soundman.exe gefunden. im sophos viren-lexikon gibt es den wurm W32/Agobot-JS oder auch -KH.
jedenfalls bin ich mir jetzt nicht genau sicher, ob ich mir mit soundman.exe diesen wurm eingefangen habe, oder ob es lediglich eine datei von realtek ist...
jedenfalls ist soundman.exe im highjack-log auch aufgeführt...
Logfile of HijackThis v1.97.7
Scan saved at 09:42:03, on 20.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Dialer Control\dc.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christina\Eigene Dateien\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [KAZAA] "C:\Programme\Kazaa Lite\kpp.exe" "C:\Programme\Kazaa Lite\kazaalite.kpp" /SYSTRAY
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O16 - DPF: {13B03B06-C0DF-4522-BDBA-E0B2365C72A5} (Flatcast Viewer 4.7) - http://www.1mal1.com/flatcast/NpFv47.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4C5F268-46CE-48D0-9B6C-25C5BB67C21E}: NameServer = 217.237.151.97 194.25.2.129
zusätzlich hab ich das problem, dass mein pc keinen sound mehr "von sich gibt"
meine lautsprecherboxen funktionieren aber wunderbar...(hab sie bei einem anderen computer schon ausprobiert)
kopfhörer funktionieren auch nicht...
könnte das an einem virus oder so was liegen?
oder hat das vielleicht was mit einem treiber zu tun?
danke schon mal im voraus!!
chrissy