Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Mainpean

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.03.2005, 03:54   #1
pattyll
 
Mainpean - Standard

Mainpean



Hi Leute,

ich weiss das gab es wahrscheinlich schon, bin aber nciht so richtig schlau aus dem forum geworden.

ich wollte vorhin ein normales program runterladen, anstatt des programmes hatte ich dann P2P Intexus auf dem laptop, blaues symbol. ich öffnete eine internetseite und ein dialer kam zum vorschein, ich ging auf abbrechen. machte danach sofort spybot, ad aware etc. und die fanden dann mainpean. habe ich natürlich alles behoben und gelöscht, desktopsymbol in den papierkorb und geleert. bin leider nicht so ein pc fachmann, war mir aber keiner schuld bewusst,
nun meine frage, habe ich dieses teil noh drauf??? benutze isdn dsl , könnten mir damit kosten entstanden sein?? vielen dank im voraus

Alt 14.03.2005, 08:40   #2
big_surfer
 
Mainpean - Standard

Mainpean



Ein Dialer kann nur mit einer aktiven Telefonleitung funktionieren. Wenn dein Computer nicht an die Telefonleitung angeschlossen ist (bei ISDN über eine ISDN-Box oder -Karte) und auch keine DFÜ-Verbindung zum Telefon besteht kann nichts passieren. DSL hat mit dem Telefonnetz nichts zu tun, es nutzt nur die Kupferkabel des Telefonnetzes als Leitung, ist aber sonst getrennt vom Telefonnetz.
__________________


Alt 14.03.2005, 10:13   #3
pattyll
 
Mainpean - Standard

Mainpean



danke für deine schnelle antwort, also mein pc ist über ein ganz normales dsl modem an die telefonbuchse angeschlossen, wo auch das kabel fürs telefon steckt. heute hatte ich meinen anwender gewechselt, muss dazu sagen ich lebe im ausland, jedenfalls hatte er mir die verbindung über ihren provider hergestellt und jedes mal wenn ich mich einwählen möchte zeigt mein dialer contral an:

C: Windows/Explorer.Exe versucht auf die adresse... und dann die IP des providers

und werde dann gefragt ob ich zulassen möchte, ich denke mal das hat nichts zu bedeuten oder??? weil die IP ist ja vom provider

ich weiss, klingt alles sehr anfänger mässig :-(
__________________

Alt 14.03.2005, 11:07   #4
Gigamail
 
Mainpean - Standard

Mainpean



@ pattyll

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 14.03.2005, 11:15   #5
pattyll
 
Mainpean - Standard

Mainpean



Logfile of HijackThis v1.99.1
Scan saved at 11:14:54, on 14.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Coolspot\Dialer Control\dc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\LVComS.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\JOSEPH~1\LOKALE~1\Temp\Rar$EX07.060\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://uk.red.clientapps.yahoo.com/c...o/bt_side.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://uk.red.clientapps.yahoo.com/c...ww.yahoo.co.uk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://uk.red.clientapps.yahoo.com/c...ww.yahoo.co.uk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://uk.red.clientapps.yahoo.com/c...o/bt_side.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://uk.red.clientapps.yahoo.com/c...ww.yahoo.co.uk
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://uk.red.clientapps.yahoo.com/c...ww.yahoo.co.uk
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/info/e-center-p
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0527.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0527.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\programme\partypoker\IEExtension.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\programme\partypoker\IEExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://jcs.chat.dcn.yahoo.com/v45/yacscom.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110755465756
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yaho...tocomplete.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F64A365-DF9D-4623-AD0B-0B308BD8F961}: NameServer = 217.168.160.42,217.168.160.41
O17 - HKLM\System\CCS\Services\Tcpip\..\{329CE226-FCCF-4D63-8CFE-86F043AEB478}: NameServer = 80.77.193.200 80.77.193.201
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


Alt 14.03.2005, 11:50   #6
chaosman
 
Mainpean - Standard

Mainpean



@pattyll
benutze isdn dsl falls du einen sgn kombigerät verwendest, also dsl/isdn kombiniert, dann ist es tatsächlich möglich.
nur mit reines dsl modem, dann nicht
das ist dein dialer!
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe


ich lebe im ausland du schreibst leider nicht wo
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F64A365-DF9D-4623-AD0B-0B308BD8F961}: NameServer = 217.168.160.42,217.168.160.41
der erste nummer zeigt wohl australien an, ist das dein provider?
Whois.Net

WHOIS information for 160.42:

[whois.melbourneit.com]

lade escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

speichere obengenannte datei auf diskette zwecks beweismittel, wenn du angst hast vor hohe telefonrechnungen

chaosman
__________________
--> Mainpean

Alt 14.03.2005, 11:56   #7
Gigamail
 
Mainpean - Standard

Mainpean



Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
Du solltest unbedingt auf SP2 updaten

lade Dir mal noch eScan Beschreibung unten noch nicht scannen

ich kann in Deinem Log nicht unbedingt schlimme Sachen erkennen

Frage kennst Du die folgende IP:

Authoritative answers can be found from:
160.168.217.in-addr.arpa nameserver = utopia.CATS.com.mt.
160.168.217.in-addr.arpa nameserver = mercury.CATS.com.mt.
mercury.CATS.com.mt internet address = 217.168.160.41

Solltest Du die nicht kennen dann boote in den abgesicherten Modus deaktiviere die systemwiederherstellung und fixe mit HJT folgenden Eintrag:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F64A365-DF9D-4623-AD0B-0B308BD8F961}: NameServer = 217.168.160.42,217.168.160.41

den kannst Du auf alle Fälle fixen:
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yah...utocomplete.cab

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
__________________
Gruß Gigamail

eScan-Anleitung und Download



Antwort

Themen zu Mainpean
ad aware, aware, bewusst, dialer, dsl, forum, frage, gelöscht, interne, internetseite, kosten, laptop, leute, mainpean, natürlich, nciht, p2p, papierkorb, richtig, runterladen, schlau, schuld, seite, sofort, spybot, vielen dank, wahrscheinlich




Ähnliche Themen: Mainpean


  1. Mainpean-Dialer rückwirkend ungültig. TOP!!!
    Plagegeister aller Art und deren Bekämpfung - 02.04.2004 (0)
  2. Dialer MainPean Highspeed
    Plagegeister aller Art und deren Bekämpfung - 18.11.2003 (6)
  3. MainPean und Verankerung im System
    Plagegeister aller Art und deren Bekämpfung - 04.10.2003 (5)

Zum Thema Mainpean - Hi Leute, ich weiss das gab es wahrscheinlich schon, bin aber nciht so richtig schlau aus dem forum geworden. ich wollte vorhin ein normales program runterladen, anstatt des programmes hatte - Mainpean...
Archiv
Du betrachtest: Mainpean auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.