Home » Viren, Trojaner & Malware Forum » AntiVir-Warnmeldung "Worm/MSMCCrpyt" bei Media Player-Start » Themenansicht

AntiVir-Warnmeldung "Worm/MSMCCrpyt" bei Media Player-Start
#0
26.06.2004, 13:03
Sukultan
...neu hier

Beiträge: 3
#1 Wenn ich den Windows Media Player zu öffnen versuche, oder Dateien für den Media Player, dann erscheint der Warnbildschirm des AVGuard des Programmes AntiVir mit der Meldung:

Die Datei "C:\WINDOWS\TEMP\SETUP.EXE" enthält Code des Virus "Worm/MSMCCrpyt"

Die Möglichkeiten "Löschen", "Umbenennen", "Verschieben" bringen keine Lösung.
AntiVir und Spybot finden keinen Wurm, Trojaner, usw.
In dem erwähnten Ordner findet sich keine setup.exe-Datei, aber stattdessen eine uninstall.bat-Datei (99 Bytes groß) mit dem jeweiligen Erstellungsdatum des letzten versuchten Zugriffs auf den Media Player.

Weiß jemand, ob das tatsächlich ein Wurm ist? Ich habe den Media Player zuletzt vor ungefähr zwei Wochen problemlos benutzt.
Seitenanfang Seitenende
26.06.2004, 20:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 http://www.mwti.net/antivirus/free_utilities.asp
lade die mwav.exe , gehe in den abgesicherten Modus...F8 beim Hochfahren druecken und scanne <alle Dateien<

Dann laedst du das HijackTis , scannst, save und kopierst das ins Forum
http://board.protecus.de/t9391.htm


das scheint ein ganz neuer Wurm zu sein....Worm/MSMCCrpyt..in einem anderen Thread klagte ein User ueber das gleiche Problem mit dem MediaPlayer, aber nach dem Scann mit der mwav.exe, war das Problem behoben.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.06.2004 um 21:03 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.06.2004, 10:11
Sukultan
...neu hier

Themenstarter

Beiträge: 3
#3 Logfile of HijackThis v1.97.7
Scan saved at 10:14:04, on 27.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\EIGENE DATEIEN\SEARCHANDDESTROY\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [mdetect] C:\WINDOWS\TMP.0267.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?1075916925870
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe

Ich habe vorher noch einmal AntiVir und Spybot durchlaufen lassen, haben aber beide nichts gefunden. Das Problem ist immer noch vorhanden.
Seitenanfang Seitenende
27.06.2004, 19:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 #Deaktiviere die Wiederherstellung

#scanne bitte auch mit dem escan (mwav.exe)
http://www.mwti.net/antivirus/free_utilities.asp

#und ueberpruefe mit Kaspersy

C:\WINDOWS\TMP.0267.EXE
C:\WINDOWS\TEMP\SETUP.EXE
http://www.kaspersky.com/remoteviruschk.html

.......................................................................................................
Loeschen des Virus
1.Gehe in die Registry
Start<Ausfuehren<regedit

suche unter diesen Schluesseln winbooter.exe und loesche auf der rechten Seite der Registry, alles was du findest.

zum Beispiel
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
load = c:\windows\system\winbooter.exe

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows

schliesse die Registry

Loesche
c:\windows\system\winbooter.exe
c:\windows\temp\setup.exe

loesche alles unter :
C:\Dokumente und Einstellungen\andy\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\Sukultan\Lokale Einstellungen\Temporary Internet Files

.......................................................................................................
Interessant ;) ist, dass der Antivir. seine eigenen Infos nicht kennt.
Ich habe dort MSMCCrpyt in die Suchfunktion eingegeben und kein Ergebnis bekommen....Leider ist Ihre Suche ergebnislos verlaufen.....
Vielleicht ist es nur ein Bug.

MfG
Sabina
http://www.vsantivirus.com/vuxer-a.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.06.2004 um 19:50 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.06.2004, 12:20
Sukultan
...neu hier

Themenstarter

Beiträge: 3
#5 Hab ihn erwischt !!!

Die Datei winbooter.exe war auf meinem PC nicht zu finden. Aber das Programm Kaspersky hat die Übeltäter geschnappt:

TMP.0267.EXE
WMPLAYER.EXE

waren beide laut Kaspersky mit "TrojanDropper.Win32.Small.he" infiziert.
Ich habe sie gelöscht, den MediaPlayer aktualisiert und jetzt läuft alles wieder. Dazu muß ich natürlich ergänzen, daß bis auf den MediaPlayer auch vorher schon alles lief. Aber wenn ich Windows XP, den Internet Explorer 6.0 oder einfach mehr und interessantere Daten auf diesen PC hätte, wer weiß, was dann gewesen wäre. Doch glücklicherweise ist dies nur der Internet-PC (und PC für alte PC-Spiele, die unter XP nicht laufen wollen).

Vielen Dank für die Hilfe ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1