Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Dialer und seltsame Dateien

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.03.2005, 22:37   #1
Hannibal125
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Hallo zusammen,

ein Kumpel von mir hat sich den 'Scherz' erlaubt, auf meinem Rechner nen Dialer zu installiere... (da vertraut man Leuten und lässt sie an seinen Rechner, und dann sowas...) passieren konnte allerdings nichts, da ich 0190 und 0900er Nummern durch meine Telefonanlage hab Sperren lassen. Allerdings möchte ich dieses Teil halt möglichst komplett los werden. Es kam von der Seite (ich hoffe, ich darf so etwas hier angeben!- Wenn nicht, bitte ich die Mods und Admins um Entschuldigung!) www.hitsex.de . Der Diaer hatte eine mitgelieferte Funktion zum Selbstentfernen, die ich dann ausgeführt habe... Aber bei den Dingern kann man ja nie wissen... Folgende Fragen:

1. Kann sich da noch irgendwo etwas Gefährliches versteckt haben? AdAware und Spybot finden auch nichts! Sysedit-Dateien sind sauber, nur in der Registry finde ich noch Einträge, wenn ich nach x0900 suche... (So hieß übrigens der Ordner den das Proggy angelegt hat, durch das Deinstallationstool jedoch wieder sauber entfernt hat!) und zwar in flgendem Pfad:

HKEY_USERS/S-1-5-21-527237240-1960408961-725345543-1005/Software/Microsoft/Windows/CurrentVersion/Explorer/
MenuOrder/Start Menu/Programs/x0900.com

In diesem Verzeichnis sind zwei Einträge:
1. "(Standard) REG_SZ (Wert nicht gesetzt)" und
2. "Order REG_BINARY 0800etc."

Außerdem findet man unter dem Pfad

HKEY_USERS/S-1-5-21-527237240-1960408961-725345543-1005/Software/Microsoft/Windows/ShellNoRoam/MUICache

einen Eintrag: "C:/x0900.com/directdialer.exe REG_SZ Direktdialer"

Sind das gefährliche Einträge? Kann man die löschen? Muss man die vielleicht gar löschen?

Für Hilfe wäre ich dankbar! Übrigens: im Autostart finden sich auch keine verdächtigen Anwendungen!

Zweites Probolem:

Mir ist heute in meinem C-Verzeichnis (also meiner Festplatt) ein seltsamer Ordner aufgefallen, der mir vorher noch nicht aufgefallen war... Und zwar heißt dieser "Downloads" und beinhaltet seltsame Namen wie worm.avc; x-files.avc; pornware.avc, etc Beim Suchen im Forum stieß ich darauf, dass dies wohl Dateien von AntiVir oder dem eScan sein können. Ist das korrekt? Beide Programme sind bei mir installiert.... Aber wieso hab ich den Ordner vorher nicht gesehen? Risky or not?

Danke für Hilfe und die besten Grüße,
Hannibal

Alt 10.03.2005, 22:48   #2
Cidre
Administrator, a.D.
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Hallo,

Zitat:
HKEY_USERS/S-1-5-21-527237240-1960408961-725345543-1005/Software/Microsoft/Windows/CurrentVersion/Explorer/
MenuOrder/Start Menu/Programs/x0900.com
Wichtig: Vorher ein Backup der Registry erstellen.
Diesen Schlüssel entfernen.
Zitat:
HKEY_USERS/S-1-5-21-527237240-1960408961-725345543-1005/Software/Microsoft/Windows/ShellNoRoam/MUICache
einen Eintrag: "C:/x0900.com/directdialer.exe REG_SZ Direktdialer"
Nur den Eintrag entfernen.
Zitat:
dieser "Downloads" und beinhaltet seltsame Namen wie worm.avc; x-files.avc...
Der Ordner ist unbedenklich und wird von eScan AntiVirus beim updaten angelegt.

btw:
Was hat eScan Antivirus eigentlich bemängelt?
__________________

__________________

Alt 10.03.2005, 23:00   #3
Hannibal125
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Hallo Cidre,

erstmal danke für die schnelle Antwort! eScan und AntiVir haben nichts bemängelt!!!

Bin mit der Registry gar nicht vertraut: wo ist der Unterschied zwischen 'Eintrag' und 'Schlüssel'?

MfG,
Hanni
__________________

Alt 10.03.2005, 23:43   #4
Cidre
Administrator, a.D.
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Zitat:
Bin mit der Registry gar nicht vertraut: wo ist der Unterschied zwischen 'Eintrag' und 'Schlüssel'?
Öffne die Registry, klicke auf das [?] und lese dich über die einzelnen Begriffe ein.
Ansonsten ->
http://support.microsoft.com/kb/256986/DE/
http://support.microsoft.com/kb/322756/DE/
__________________
Gruß, Cidre


Alt 10.03.2005, 23:55   #5
Hannibal125
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Hmmm... ich werde jetzt erstmal ins Bettchen gehen, denke ich. Kannst du mir evtl. nur mal kurz sagen, ob diese Sachen gefährlich sind, oder nicht? Kosten sollten sie eigentlich nicht verursachen können, da wie gesagt die Nummern durch meine Eumex gesperrt sind. Werde mich dann morgen durch die registry schlagen... Wie gesagt: ein kurzer Tipp ob risky or not wäre noch hilfreich...

Danke und gute Nacht,
Hanni


Alt 11.03.2005, 00:27   #6
charlie1
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Wahu, die Seite ist ja richtig geil, fallst du nur DSL hast und nichts weiter, keine Gefahr.
LG, Charlie


Nicht mal das; 'se.dll/sp.html' und ich suche das schon überall.
__________________
--> Dialer und seltsame Dateien

Geändert von charlie1 (11.03.2005 um 00:34 Uhr)

Alt 11.03.2005, 20:10   #7
Hannibal125
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Hallo,

habe kein DSL, sondern nur ISDN. Aber Gefahr, im Sinne von Kosten, sollte eh nicht bestehen, da ich die gefährlichen Nummern wie gesagt durch meine Telefonanlage gesperrt habe. Hätte meine Platte eben nur gerne sauber von solchen 'Plagegeistern'. Daher hätte ich gerne gewusst, ob diese Registry Einträge 'schädlich' sind.

Schöne Grüße,
D.A.

Alt 14.03.2005, 14:34   #8
Hannibal125
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Hallo,

habe mich nun mit den Begriffen vertraut gemacht. Würde allerdings vor dem Bearbeiten/Löschen der Einträge noch einmal bestätigt bekommen, dass ein Löschen unbedingt notwendig ist... Registry-Backup erstelle ich natürlich vorher. Kann ich das dann auch ohne Probleme wieder 'reaktivieren' ?

Schöne Grüße,
Hanni

Alt 14.03.2005, 17:53   #9
Cidre
Administrator, a.D.
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Imo ein sehr guter Link zum Thema Registry und deine Frage wird ebenfalls beantwortet:
Zitat:
Bevor nun etwas geändert oder gelöscht wird, kommt zuerst ein Registry-Backup. Der Unterschlüssel "Run" [Beispiel] ist farblich markiert durch den direkten Klick auf den Schlüssel. Im Menü auf "Datei - Exportieren" klicken, im neu geöffneten Fenster erscheinen nun unten, im Exportbereich, zwei Optionen. Die Option "Alles" wäre für die komplette Registry-Sicherung. Die Option "ausgewählte Teilstruktur" ist nur für den gewählten Registry-Pfad zuständig, in diesem Fall für den Unterschlüssel "Run". Unter "Dateiname", in der Mitte, wird nun der Name für den gesicherten Unterschlüssel angegeben. Beispiel: Autostart oder Run. Die Option "Dateityp" darf nicht verändert werden, hier ist die Endung .reg schon vorgegeben. Oben unter "Speichern in:" kann der Ordner ausgesucht werden, in welchem die Sicherung gespeichert werden soll...

Unter XP/W2k nützt es leider nicht viel, wenn die ganze Registry exportiert wird, weil sie leider nicht heil zurückgespielt werden kann. Dafür schafft das Tool ERUNT Abhilfe für NT/W2k/XP. Für den Fall, dass die Registry beschädigt ist, kann das Tool aus DOS heraus die Registry wieder herstellen. Auch das kostenlose Tool "Registry System Wizard" (RSW) kann die Registry sichern.
Quelle: http://www.wintotal.de/Artikel/registry/registry.php
__________________
Gruß, Cidre


Alt 14.03.2005, 20:34   #10
Hannibal125
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Danke für den nützlichen Link!

Er ist tatsächlich sehr hilfreich. Allerdings weiß ich immernoch nicht, ob es tatsächlcih nötig ist, die Einträge und Schlüssel zu löschen... Würde eigentlich nur ungern da drinnen rumfingern (*traumichnicht*)....
Wie gesagt: Kann mir jemand ne gute Begründung dafür liefern, dass die Einträge gelöscht werden sollten? Ist der Dialer dadurch immernoch aktiv? Kann theoretisch von ihm noch Gefahr ausgehen?

Gruß,
Hannibal

EDIT: Außerdem ist mir gerade aufgefallen, dass ich vergessen habe, noch ein weiteres 'Verzeichnis' anzugeben, in dem ich Spuren des Dialers gefunden habe:

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/
MenuOrder/Start Menu/Programs/x0900.com
mit ebenfalls zwei Einträgen:
1. "(Standard) REG_SZ (Wert nicht gesetzt)"
2. "Order REG_BINARY 0800etc."

Und ich stelle fest, dass der Eintrag unter:

HKEY_USERS/S-1-5-21-527237240-1960408961-725345543-1005/Software/Microsoft/Windows/ShellNoRoam/MUICache

weg ist!!! Also bitte nochmals meine Frage: Muss ich da drin rumschnibbeln? Und wenn ja, dann welche Einträge? Oder eben nur die beiden angegebenen Schlüssel

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/
MenuOrder/Start Menu/Programs/x0900.com

und

HKEY_USERS/S-1-5-21-527237240-1960408961-725345543-1005/Software/Microsoft/Windows/CurrentVersion/Explorer/
MenuOrder/Start Menu/Programs/x0900.com ???

Danke für Hilfe!

Geändert von Hannibal125 (14.03.2005 um 21:07 Uhr)

Alt 14.03.2005, 21:34   #11
Cidre
Administrator, a.D.
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Zitat:
Kann mir jemand ne gute Begründung dafür liefern, dass die Einträge gelöscht werden sollten?
Weil diese Einträge auf einem sauberen System nichts verloren haben.
Zitat:
Ist der Dialer dadurch immernoch aktiv?
Nein, wenn du den Dialer deinstalliert bzw. die Malware Dateien gelöscht hast.
Dieser Schlüssel sagt aus, das unter Start -> Programme -> der x0900.com Eintrag zum Aufruf des Dialers noch vorhanden ist.
Zitat:
Kann theoretisch von ihm noch Gefahr ausgehen?
Siehe oben.

Trau dich und lösche beide Schlüssel ->
Zitat:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/
MenuOrder/Start Menu/Programs/x0900.com
und
HKEY_USERS/S-1-5-21-527237240-1960408961-725345543-1005/Software/Microsoft/Windows/CurrentVersion/Explorer/
MenuOrder/Start Menu/Programs/x0900.com ???
__________________
Gruß, Cidre


Alt 14.03.2005, 22:26   #12
Hannibal125
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Hallo, das Löschen hat einwandfrei geklappt, allerdings habe ich mit HijackThis noch Spuren gefunden. Hier mal das Log und der entsprechende Eintrag ist hervorgehoben:

Logfile of HijackThis v1.99.0
Scan saved at 21:56:40, on 14.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\AV Personal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\AV Personal\AVGUARD.EXE
C:\Eumex 504PC SE\Capictrl.exe
C:\AV Personal\AVWUPSRV.EXE
C:\Excel und Powerpoint 97\Office\OSA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\AV Personal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Office-Start.lnk = C:\Excel und Powerpoint 97\Office\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O16 - DPF: {09954582-CAC3-4E05-A09C-4955BBD3187F} (Privat-X Client) - http://www.px24.com/ax/px_client_en.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092955981484
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\AV Personal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\AV Personal\AVWUPSRV.EXE
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

Außerdem habe ich mit "px24" noch einen Eintrag in der Registry gefunden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{09954582-CAC3-4E05-A09C-4955BBD3187F}\DownloadInformation

Hierin befinden sich folgende Einträge:

1. (Standard) REG_SZ (Wert nicht gesetzt)
2. CODEBASE REG_SZ http://www.px24.com/ax/px_client_en.cab

Es ergeben sich also 2 neue Fragen:

1. Was mach ich mit der Sache die HijackThis anzeigt? Einfach fixen? Wenn ja, wie geht das? Im abgesicherten Modus?

2. Was mach ich mit dem Registry-Eintrag bzw. dem Schlüssel??

Bin euch für eure Hilfe sehr dankbar!

Übrigens: kann ich davon ausgehen, dass das System tatsächlich nochmal ganz blitzeblank sauber ist, oder sollte ich lieber mal die Platte putzen? Aber nur wegen so nem Dialer, den ich mit der Telefonanlage eh außer Gefecht gesetzt habe... Aber ich bin Perfektionist in solchen Sachen. Also neu aufspielen, oder 'bereinigen'?

Gruß,
Hanni

Geändert von Hannibal125 (14.03.2005 um 22:44 Uhr)

Alt 14.03.2005, 23:04   #13
Hannibal125
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Hmmm... habe gerade gesehen, dass der Eintrag den HJT findet unter Windows/Downloaded Program Files steht. Dort findet man folgende Informationen:

Programmdatei: Private-X-Client
Status: Installiert
Größe: 752 KB

und unter Eigenschaften:

Typ: Active-X-Steuerelement

So langsam werde ich das Gefühl nicht los, dass ein Neuaufspielen des Systems doch am sinnvollsten wäre, oder?

Gruß,
Hannibal

Alt 14.03.2005, 23:21   #14
Hannibal125
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Ahhhhh.... Und jetzt sehe ich, dass in meinem Windows-Ordner es ganz viele merkwürdige Dateien gibt die solche Dateinamen haben:

"$NtUninstallKB835732$" und so ähnlich.... Die Namen der Dateien stehen in blauer Schrift da... Was ist denn das jetzt schon wieder???

Vielleicht gehe ich erstmal ins Bettchen... Vielleicht konntet ihr mir bis morgen dann ja schonmal weiterhelfen.

Danke, Gruß und gute Nacht,
Hannibal

Alt 14.03.2005, 23:39   #15
Cidre
Administrator, a.D.
 
Dialer und seltsame Dateien - Standard

Dialer und seltsame Dateien



Zitat:
Ahhhhh.... Und jetzt sehe ich, dass in meinem Windows-Ordner es ganz viele merkwürdige Dateien gibt die solche Dateinamen haben:
"$NtUninstallKB835732$" und so ähnlich...
Nun beruhig dich mal wieder und verfall nicht in Panik. Das ist nur die Deinstallationsroutine der MS Updates/Patches, die auch unter Systemsteuerung -> Software aufgelistet sind.
Zitat:
Vielleicht gehe ich erstmal ins Bettchen
Bei deiner momentanen Verfassung, eine sehr gute Idee.

Fixe diesen Eintrag (Haken setzen und auf Fix Checked klicken):
O16 - DPF: {09954582-CAC3-4E05-A09C-4955BBD3187F} (Privat-X Client) - http://w**.px**.com/ax/px_client_en.cab
Lösche unter C:\WINDOWS\Downloaded Program Files das h**p://www.px**.com/ax/px_client_en.cab

Arbeite mindestens Punkt 3, 5 und 6 vom Link in meiner Signatur ab.

Zitat:
So langsam werde ich das Gefühl nicht los, dass ein Neuaufspielen des Systems doch am sinnvollsten wäre, oder?
Dies ist immer die sicherste und vertrauenswürdigste Lösung.
__________________
Gruß, Cidre


Antwort

Themen zu Dialer und seltsame Dateien
adaware, anlage, antivir, anwendungen, autostart, danke, dateien, dialer, entfernen, escan, folge, forum, frage, fragen, hallo zusammen, leute, löschen, löschen?, namen, not, ordner, programme, rechner, registry, seite, spybot, standard, träge




Ähnliche Themen: Dialer und seltsame Dateien


  1. Proxy Einstellungen verändert, seltsame Dateien - Befall möglich? (OTL & Malwarebyte Logs)
    Log-Analyse und Auswertung - 01.10.2012 (5)
  2. Einfrieren, Bluescreens, Umleiten auf andere Webseiten, Seltsame Dateien und Benutzerkonten u.v.m.
    Log-Analyse und Auswertung - 15.12.2011 (19)
  3. Seltsame Dateien die leer sind, sonst keine Funde von vielen Scannern
    Plagegeister aller Art und deren Bekämpfung - 09.11.2011 (37)
  4. Seltsame Dateien in C:\Windows
    Log-Analyse und Auswertung - 09.07.2011 (11)
  5. Seltsame RAR Dateien gefunden (Benutzername+Geburtstag)
    Plagegeister aller Art und deren Bekämpfung - 21.07.2010 (3)
  6. seltsame Dateien unter c:\windows
    Alles rund um Windows - 25.06.2010 (6)
  7. Computer vollgemüllt, langsam, seltsame dateien
    Log-Analyse und Auswertung - 02.03.2010 (2)
  8. seltsame Aktionen beim Ausführen von *.bat-Dateien
    Plagegeister aller Art und deren Bekämpfung - 24.06.2009 (6)
  9. seltsame .tmp Dateien im Windows/Temp/ Verzeichnis zum Teil mit IP Listen
    Log-Analyse und Auswertung - 03.03.2009 (0)
  10. Seltsame Dateien im Tempordner - gefährlich oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (7)
  11. seltsame exe dateien auf ganzem pc verstreut
    Plagegeister aller Art und deren Bekämpfung - 28.01.2007 (1)
  12. habe seltsame Dateien - und keine Ahnung!!
    Plagegeister aller Art und deren Bekämpfung - 11.12.2006 (2)
  13. .tmp dateien tauchen ständig wieder auf! - Dialer.DialPlatform -
    Mülltonne - 17.04.2006 (1)
  14. Hilfe ! Dialer oder nicht Dialer ?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2006 (1)
  15. Seltsame Dateien
    Plagegeister aller Art und deren Bekämpfung - 08.04.2005 (5)
  16. Pc langsam seltsame dateien logauswertung
    Log-Analyse und Auswertung - 12.12.2004 (1)
  17. Merkwürdige Datei und andere seltsame Dinge - Dialer?
    Plagegeister aller Art und deren Bekämpfung - 15.10.2003 (8)

Zum Thema Dialer und seltsame Dateien - Hallo zusammen, ein Kumpel von mir hat sich den 'Scherz' erlaubt, auf meinem Rechner nen Dialer zu installiere... (da vertraut man Leuten und lässt sie an seinen Rechner, und dann - Dialer und seltsame Dateien...
Archiv
Du betrachtest: Dialer und seltsame Dateien auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.