![]() |
|
Plagegeister aller Art und deren Bekämpfung: MainpeanWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() ![]() | ![]() Mainpean Hi Leute, ich weiss das gab es wahrscheinlich schon, bin aber nciht so richtig schlau aus dem forum geworden. ich wollte vorhin ein normales program runterladen, anstatt des programmes hatte ich dann P2P Intexus auf dem laptop, blaues symbol. ich öffnete eine internetseite und ein dialer kam zum vorschein, ich ging auf abbrechen. machte danach sofort spybot, ad aware etc. und die fanden dann mainpean. habe ich natürlich alles behoben und gelöscht, desktopsymbol in den papierkorb und geleert. bin leider nicht so ein pc fachmann, war mir aber keiner schuld bewusst, nun meine frage, habe ich dieses teil noh drauf??? benutze isdn dsl , könnten mir damit kosten entstanden sein?? vielen dank im voraus |
![]() | #2 |
![]() ![]() | ![]() Mainpean Ein Dialer kann nur mit einer aktiven Telefonleitung funktionieren. Wenn dein Computer nicht an die Telefonleitung angeschlossen ist (bei ISDN über eine ISDN-Box oder -Karte) und auch keine DFÜ-Verbindung zum Telefon besteht kann nichts passieren. DSL hat mit dem Telefonnetz nichts zu tun, es nutzt nur die Kupferkabel des Telefonnetzes als Leitung, ist aber sonst getrennt vom Telefonnetz.
__________________ |
![]() | #3 |
![]() ![]() | ![]() Mainpean danke für deine schnelle antwort, also mein pc ist über ein ganz normales dsl modem an die telefonbuchse angeschlossen, wo auch das kabel fürs telefon steckt. heute hatte ich meinen anwender gewechselt, muss dazu sagen ich lebe im ausland, jedenfalls hatte er mir die verbindung über ihren provider hergestellt und jedes mal wenn ich mich einwählen möchte zeigt mein dialer contral an:
__________________C: Windows/Explorer.Exe versucht auf die adresse... und dann die IP des providers und werde dann gefragt ob ich zulassen möchte, ich denke mal das hat nichts zu bedeuten oder??? weil die IP ist ja vom provider ich weiss, klingt alles sehr anfänger mässig :-( |
![]() | #4 |
![]() ![]() ![]() | ![]() Mainpean @ pattyll erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This |
![]() | #5 |
![]() ![]() | ![]() Mainpean Logfile of HijackThis v1.99.1 Scan saved at 11:14:54, on 14.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\carpserv.exe C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe C:\Programme\Winamp\winampa.exe C:\Programme\The Cleaner\tca.exe C:\Programme\The Cleaner\tcm.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Logitech\Video\LogiTray.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\Coolspot\Dialer Control\dc.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\LVComS.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\JOSEPH~1\LOKALE~1\Temp\Rar$EX07.060\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://uk.red.clientapps.yahoo.com/c...o/bt_side.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://uk.red.clientapps.yahoo.com/c...ww.yahoo.co.uk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://uk.red.clientapps.yahoo.com/c...ww.yahoo.co.uk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://uk.red.clientapps.yahoo.com/c...o/bt_side.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://uk.red.clientapps.yahoo.com/c...ww.yahoo.co.uk R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://uk.red.clientapps.yahoo.com/c...ww.yahoo.co.uk R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/info/e-center-p O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe" O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0527.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0527.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\programme\partypoker\IEExtension.dll O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\programme\partypoker\IEExtension.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://jcs.chat.dcn.yahoo.com/v45/yacscom.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110755465756 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yaho...tocomplete.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0F64A365-DF9D-4623-AD0B-0B308BD8F961}: NameServer = 217.168.160.42,217.168.160.41 O17 - HKLM\System\CCS\Services\Tcpip\..\{329CE226-FCCF-4D63-8CFE-86F043AEB478}: NameServer = 80.77.193.200 80.77.193.201 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe |
![]() | #6 |
![]() ![]() ![]() | ![]() Mainpean @pattyll benutze isdn dsl falls du einen sgn kombigerät verwendest, also dsl/isdn kombiniert, dann ist es tatsächlich möglich. nur mit reines dsl modem, dann nicht das ist dein dialer! O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe ich lebe im ausland du schreibst leider nicht wo O17 - HKLM\System\CCS\Services\Tcpip\..\{0F64A365-DF9D-4623-AD0B-0B308BD8F961}: NameServer = 217.168.160.42,217.168.160.41 der erste nummer zeigt wohl australien an, ist das dein provider? Whois.Net WHOIS information for 160.42: [whois.melbourneit.com] lade escan download anleitung EscanErgebnis Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." speichere obengenannte datei auf diskette zwecks beweismittel, wenn du angst hast vor hohe telefonrechnungen chaosman
__________________ --> Mainpean |
![]() | #7 | |
![]() ![]() ![]() | ![]() MainpeanZitat:
lade Dir mal noch eScan Beschreibung unten noch nicht scannen ich kann in Deinem Log nicht unbedingt schlimme Sachen erkennen Frage kennst Du die folgende IP: Authoritative answers can be found from: 160.168.217.in-addr.arpa nameserver = utopia.CATS.com.mt. 160.168.217.in-addr.arpa nameserver = mercury.CATS.com.mt. mercury.CATS.com.mt internet address = 217.168.160.41 Solltest Du die nicht kennen dann boote in den abgesicherten Modus deaktiviere die systemwiederherstellung und fixe mit HJT folgenden Eintrag: O17 - HKLM\System\CCS\Services\Tcpip\..\{0F64A365-DF9D-4623-AD0B-0B308BD8F961}: NameServer = 217.168.160.42,217.168.160.41 den kannst Du auf alle Fälle fixen: O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yah...utocomplete.cab Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: => Total Files Scanned: => Total Virus(es) Found: => Total Disinfected Files: => Total Files Renamed: => Total Deleted Files: => Total Errors: => Time Elapsed: => Virus Database Date: => Virus Database Count: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** --> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) |
![]() |
Themen zu Mainpean |
ad aware, aware, bewusst, dialer, dsl, forum, frage, gelöscht, interne, internetseite, kosten, laptop, leute, mainpean, natürlich, nciht, p2p, papierkorb, richtig, runterladen, schlau, schuld, seite, sofort, spybot, vielen dank, wahrscheinlich |