Hallo Ihr Profis!

Seit ein paar Tagen fällt mir ein merkwürdiger Prozess in den Tasks auf:
wmplay.exe , 9784 K


Meine Frage: wieso startet sich der Task immer wieder neu une belegt unnötig Speicher?
Ausserdem: ab und zu löst dieser auch Fehlermeldungen aus:

"Speicherüberlauf" - wirklich eine Mini-Meldung mit einem Icon in Form einer Webcam
Was soll das sein?

Erste Vermutungen, es könnte sich um einen Virus o.ä. handeln, verliefen im Sand.

Weiß jemand mehr? Danke schon mal!

hi,
Windows Media Player
Virus und Video haben eine gewisse Ähnlichkeit, Vi
Wiso + warum weis ich nicht.

Die .exe-Datei des Windows Media Player ab v7.0 heißt wmplayer.exe. Bei der wmplay.exe handelt es sich also definitiv nicht um diesen.

Google hat bei der Suche nach »wmplay.exe« *click* dieses */click* ausgespuckt. wmplay.exe ist demnach Ad-, Spy- oder Malware – und zwar scheinbar besonders fiese. [Auf der Seite nach »wmplay.exe« suchen...]

Viel Glück beim Entfernen.

Aha, dachte ich mir schon - leider stürzt sogar Adaware beim Scannen ab
Wer mich melden, wenn ich dieses Ding los bin.

So, ich habe den Übeltäter entfernen können, und zwar so:

Die wmplay.exe befand sich als versteckte Datei im Fonts-Ordner, wodurch sie nur zu löschen war, indem man auf den Ordner wie auf eine Netzresource zugreift (\\rechnername\c$\windows\fonts). Löschen war kein Problem, wenn der Prozess gekillt wurde. Auch die Registryeinträge erschienen dann nicht mehr (HKLM/Software/Microsoft/Windows/CurrentVersion/Run , Schlüssel minimo löschen).

ABER VORSICHT:
Ich schreibe momentan von einem frisch installierten (dank eines Images schnell wiederhergestellten) System, denn das entfernen der Datei hatte leider schwerwiegende Folgen: nichts lief mehr! Die rundll32.dll konnte nicht mehr geladen werden, der wmplay Prozess hat sich wirklich tief ins System gefressen. Rundll32.dll wird aber für alles unter Windows benötigt, was Dialoge, Explorer-Fenster usw. angeht. Es wurde nichts mehr gefunden. Das lag an einem Systemtask, der offensichtlich nicht mehr geladen werden konnte
Falls jemand weiss, was man in so einem Fall macht, der möge das hier ebenfalls posten bzgl. der Suchmöglichkeiten hier im Forum.

Danke Euch erstmal!

p.s.: der auf der oben erwähnten Seite angegebene Bazooka entfernte dieses Biest nicht, aber er entdeckte es, wo andere versagen. Leider bleibt aber die Entfernung offensichtlich Handarbeit....

Hi!

Hatte wmplay.exe im c:\windows\fonts Ordner. Wurde mir aber nur angezeigt, wenn ich danach gesucht hatte. Nach dem Löschen dieser Datei startete keine Anwendung mehr. wmplay.exe hatte sich anscheinend mit meinen exe-dateien verknüpft.

Ich musste also die ursprüngliche Verknüpfung wieder herstellen. Regedit konnte ich erstmal nicht starten. Bin dann auf ausführen -> command gegangen (cmd.exe ging, wie fast jede Anwendung nicht) und habe dann regedit aus dem Dosfenster heraus gestartet. Dann bin ich in hkey_local_machine/software/classes/exefile/shell/open/command gegangen und hab bei Standard den Wert "%1" %* eingegeben. Danach wurde jede Anwendung wieder normal geöffnet.

Ich hoffe, dass ich euch weiterhelfen konnte.

Wird wmplay von den Virenprogrammen erkannt ?
Ciao
Mike

Original geschrieben von zeromancer
p.s.: der auf der oben erwähnten Seite angegebene Bazooka entfernte dieses Biest nicht, aber er entdeckte es, wo andere versagen. Leider bleibt aber die Entfernung offensichtlich Handarbeit....

Nein, siehe mein posting.

Versuch mal Bitdefender oder CA Trust, Fprot usw.
Die meisten Viren hat Bitdefender beseitigen können, sogar welche die andere Programme nicht gefunden haben.
Vielleicht klappt´s ja auch .
Ciao
Mike

Ums klarzustellen: das Ding ist ja nun weg, und Bitdefender hat es nicht gefunden. Es gab auch kein Removal-Tool.

Vielleicht liest Du den ganzen Thread, da steht schon mal alles drin.

Total fieser Virus /Trojaner (minimo)
"minimo" (wmplay.exe - nicht zu verwechseln mit wmplayer.exe) infiziert innerhalb weniger Minuten alle .exe-Dateien des Rechners und macht diese unbrauchbar, es geht dann überhaupt nichts mehr.
Das "wmplay.exe" sitzt im Order "Fonts" von Windows und ist mit dem Explorer oder anderer "normaler" Software damit nicht zu sehen oder zu finden, da in diesem Ordner zu
Schriftarten angezeigt werden.
Außerdem lässt sich minimo in comctl32.dll (windows/WinSxS) und in den index.dat - Dateien des IE nieder. An diese Dateien kommt man im Normalbetrieb überhaupt nicht
ran.
Über den Taskmanager von Windows kann man in der Karteikarte „Prozesse“ wunderschön beobachten, wie sich „wmplay.exe“ immerwieder neu startet – zunächst nur beim Aufruf irgendeines Programmes, nach ein paar Minuten auch völlig selbstständig.
Über WS_FTP kommt man zwar an "wmplay.exe" ran, kann das Teil auch löschen - aber dann ist alles schon zu spät.

Einzige Hilfe: Neuinstallation bzw. Rückspielen eines Backup-Files – vorher Platte formatieren! Minimo zestört zu viele Daten und Verknüpfungen, als das man diese noch von Hand wieder herstellen könnte.
Und: Kein gängiges Virenprogramm warnt vor dem Teil – selbst durch 3 Firewalls (Linuxserver ist doppelt abgesichert, Workstation mit Norton Internet-Security 2004) schlüpft minimo einfach durch.

Vielen Dank für die vielen Hinweise bzgl. wmplay.exe. Ich hatte mir den Virus ebenfals auf meinem Rechner eingefangen. Zur Beseitigung habe ich folgendes unternommen:

Im Task Manager den Process wmplay.exe stoppen.

regedit aus DOS Fenster starten
HKEY_CLASSES_ROOT
der Schlüssel .exe war nicht mehr vorhanden, dadurch lassen sich keine .exe files mehr ausführen. Folgendes sollte beim einem Windows XP System dort stehen:
Schlüsselname: HKEY_CLASSES_ROOT\.exe
Klassenname: <KEINE KLASSE>
Wert 0
Name: <KEIN NAME>
Typ: REG_SZ
Daten: exefile
Wert 1
Name: Content Type
Typ: REG_SZ
Daten: application/x-msdownload
Schlüsselname: HKEY_CLASSES_ROOT\.exe\PersistentHandler
Klassenname: <KEINE KLASSE>
Wert 0
Name: <KEIN NAME>
Typ: REG_SZ
Daten: {098f2470-bae0-11cd-b579-08002b30bfeb}

Wie bereits in einem vorherigen Hinweis beschrieben:
hkey_local_machine/software/classes/exefile/shell/open/command den Standard Wert "%1" %* wieder setzen.

Unter Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ist wmplay.exe unter Com Services eingetragen. Diesen Einrag löschen.

Unter Schlüsselname:
Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Klassenname: <KEINE KLASSE>
Wert 10
Name: Userinit
Typ: REG_SZ
Daten: C:\WINDOWS\system32\userinit.exe,wmplay.exe,

hier wmplay.exe löschen

Wie bereits dargestellt, versteckt sich die wmplay.exe an zwei Stellen:
a) c:\windows\wmplay.exe
b) c:\windows\fonts\wmplay*.exe

Im Fonts Verzeichnis (b) existiert die wmplay.exe gleich viele Male. Statt dem wildcard Stern werdet ihr dort die Buchstaben a bis z finden. Um alle Varianten zu löschen, müßt ihr ein DOS Fenster öffnen, in das windows Verzeichnis gehen und folgendes eingeben:

dir /a:shr wmplay*.exe

Jetzt wird die versteckte wmplay.exe angezeigt.

del /f /a:shr wmplay.exe

Jetzt wird die versteckte wmplay.exe gelöscht.

cd fonts

dir /a:shr wmplay*.exe

Jetzt werden alle Varianten der wmplay*.exe angezeigt.

del /f /a:shr wmplay*.exe

Jetzt werden alle Varianten der wmplay*.exe gelöscht.

Jetzt solltet ihr eure bereinigte Registry nochmal mit dem Exportbefehl komplett sichern, damit ihr sie bei einem weiterem Problem ganz oder teilweise importieren könnt.