Hallo, wir haben seit ca. 4 Wochen ein Problem mit dem Dialer-Installer "http://63.218.226.78/connect.cgi?id=897". Dieser wird während des Windows-Starts im Standardbrowser (Firefox nun, zuvor IE) geladen und will einen Dialer installieren. Dabei wird der gesamte Autostart von Windows nicht geladen.

Ich habe mit allen bekannten Programmen (CWShredder, SpyBot 1.3, A², SpySweeper, Ad-Aware SE ...) alles mehrmals durchsucht. Es wurde auch - mal - was gefunden und alles danach entfernt.

Leider werden wir das Ding nicht los (es ist auch nicht bei jedem Windows-Start aktiv, aber bei fast jedem)

System: Windows XP Prof, SP1, alle Updates für SP1
Internet: DSL über Router

Wo kann versteckt sein, dass beim Windows-Login der Standardbrowser geladen werden soll mit der Seite http://63.218.226.78/connect.cgi?id=897

Ich habe Registry (Run ...) durchsucht ... nix!

Bin langsam ratlos.

MfG,
Tobybe

@tobybe
poste ein HJTlogfile
download und anleitung

und editiere dein link bitte

chaosman

Hallo, einige Nachträge:

Habe soeben SP2 und alle neuen Updates installiert

Software wie "Spyware Vanisher", "Spyware Eliminator" ... finden rund 34 infizierte Dinge (viel in Registry, 1 Dialer ...). Jedoch muss man die Programme kaufen, damit man die Trojaner löschen kann. Will jedoch die Programme nicht kaufen. Die Freeware Tools a la Ad-Aware finden wohl leider nicht mehr alles

Okay, anbei eine aktuelles Logfile aus Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 22:02:31, on 08.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\xp-AntiSpy\xp-AntiSpy.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Win\LOKALE~1\Temp\Rar$EX00.905\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [Spyware Vanisher] c:\programme\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [SpyBlocs] C:\Programme\eBlocs\SpyBlocs\GLF41.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O15 - Trusted IP range: 63.218.226.78
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe


(Zonealarm wird nicht mehr verwendet, die Windows-Firewall ist auch deaktiviert, Der Link/Dialer scheint bereits tot zu sein bzw. wurde vom netz genommen - trotzdem wird die seite angefordert)

Der Thread ist zwar jetzt schon ein paar Tage alt, aber ich habe gerade ein ähnliches Problem gehabt:
Mein Rechner hat ständig versucht, 63.218.226.78 und manchmal 205.177.124.72 aufzurufen.
Die Ursache: ein Trojaner, der sich in der Datei
c:\windows\system32\drivers\wlan1934.sys
versteckt.
Diese Datei löschen, und alles wird gut.
Leider ist sie wahrscheinlich geöffnet, und lässt sich daher nur über Umwege löschen:

- Als Administrator anmelden
- Process Explorer von www.sysinternals.com installieren und starten
- Strg-F drücken und "wlan1934" eingeben
- Es sollte der Handle c:\windows\system32\drivers\wlan1934.sys im Prozess "System" gefunden werden - diesen doppelklicken
- im unteren Teil die wlan1934.sys mit Rechtsklick auswählen -> Close Handle -> Ja
- Jetzt lässt sich die c:\windows\system32\drivers\wlan1934.sys löschen
- Neustart, fertig!

Wer will, kann auch noch die Registry-Einträge löschen:
- regedit.exe ausführen
- links oben "Arbeitsplatz" auswählen
- Strg-F drücken und "wlan1934" eingeben; Das Kästchen "Schlüssel" aktivieren; "Ganze Zeichenfolge vergleichen" deaktivieren
- Den gefundenen Schlüssel löschen; hierzu zunächst mit Rechtsklick -> Berechtigungen... die nötigen Vollzugriffs-Rechte setzen
- mit F3 weitersuchen und obigen Schritt wiederholen bis alle Einträge entfernt sind