Moin moin,

also ich habe ein Problem, ich habe einen Dialer, und ich weis nicht woher.

Hoffe Ihr könnt mir da weiterhelfen, ich habe mir schon einige Threads durchgelesen, und muss sagen dass ich echt schwer beeindruckt bin, werde euer Board auf jeden fall weiterempfehlen.

Ich habe auch eine logfile von HJT, die werde ich hier Posten:

Logfile of HijackThis v1.99.1
Scan saved at 23:44:19, on 22.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\Winregs1.exe
C:\WINDOWS\System32\msngta32.exe
C:\WINDOWS\System32\msupdate32.exe
C:\WINDOWS\System32\winproc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\HanseNet\HanseNet Speed-Produkte\app\TangoService.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\TangoManager.exe
C:\WINDOWS\System32\wspad.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Registry Checkup System1 Monitor] Winregs1.exe
O4 - HKLM\..\Run: [msngta32] msngta32.exe
O4 - HKLM\..\Run: [microsft Updates] msupdate32.exe
O4 - HKLM\..\Run: [Windows Process Manager] winproc.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSN PLUS XP] wspad.exe
O4 - HKLM\..\RunServices: [Registry Checkup System1 Monitor] Winregs1.exe
O4 - HKLM\..\RunServices: [msngta32] msngta32.exe
O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe
O4 - HKLM\..\RunServices: [Windows Process Manager] winproc.exe
O4 - HKLM\..\RunServices: [MSN PLUS XP] wspad.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msngta32] msngta32.exe
O4 - HKCU\..\Run: [Registry Checkup System1 Monitor] Winregs1.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunServices: [msngta32] msngta32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D1BAB3-34E6-4D33-90E2-23A18E15BC4D}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\system32\winsystem.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Programme\HanseNet\HanseNet Speed-Produkte\app\TangoService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

____________________________________


Im vorraus schon mal vielen Dank für euren Zeitaufwand und eure Mühen.
_____________
Anm.
Zur deiner eigenen Sicherheit habe ich deinen Realname im Log-File editiert!


LG Cidre
S-Mod TB

Hallo,

Zitat:

also ich habe ein Problem,

Du könntest dich glücklich schätzen wenn es so wäre.

Tatsächlich hast du verdammt viele Probleme. Auf dem Rechner befinden sich sehr viele Bots, so z.B. http://startup.iamnotageek.com/srch-MSupdate32.exe.html

=> Das System ist als kompromittiert anzusehen und sollte so schnell wie möglich neu aufgesetzt und anschließend abgesichert werden.

Falls du nicht ausschließlich über DSL ins Netz gehst, solltest du vorher einen Scan mit eScan durchführen um evtl. vorhandene Dialer aufzuspüren und diese zwecks Beweissicherung auf Diskette zu speichern.
Neu aufsetzen musst du so oder so.

Aua, da bin ich aber baff, damit habe ich eigentlich nicht gerechnet,

also du räts mir neu aufsetzen, schon wieder, ist erst 3 wochen her, naja
was man nicht alles für seinen rechner tut, also dann schon mal vielen dank für sehr schnellen support, werde mich dann wohl die nacht damit beschäftigen,
tja muss das andere halt warten


also nochmal danke, ich melde mich dann nochmal demnächst

Zitat:

Zitat von ScrufaceHH

also du räts mir neu aufsetzen, schon wieder, ist erst 3 wochen her.

Beachte den Link zum Neuaufsetzen, der die gepostet wurde, genau. Ansonsten bist du spätestens in drei Wochen wegen des gleichen Problems wieder hier.

Gruß
Yopie

Also: hier die neue HJT Logfile, habe jetzt alles so gemacht wie es in deinem sehr geil geschriebenen Artikel steht:

Logfile of HijackThis v1.99.1
Scan saved at 02:53:22, on 23.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\HanseNet\HanseNet Speed-Produkte\app\TangoService.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\TangoManager.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\Iser\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
C:\Dokumente und Einstellungen\Iser\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B8E46E9-399C-4FA0-A3D1-086007B75ABF}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B8E46E9-399C-4FA0-A3D1-086007B75ABF}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Programme\HanseNet\HanseNet Speed-Produkte\app\TangoService.exe

Zitat:

Zitat von ScrufaceHH

Also: hier die neue HJT Logfile, habe jetzt alles so gemacht wie es in deinem sehr geil geschriebenen Artikel steht:

Nein, hast du nicht

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Gleich wieder mit einem ungepatchten System ins Netz...



BTW: der Artikel ist von Cidre.

??????

ich habe das update durchgeführt, ohne scheiß, deswegen bin ich jetzt ein wenig verwirrt,

aber wie du schon gesagt hast :

also werde ich jetzt nochmal updaten, danke.