Hallo,

ich habe auf meiner letzten Telefonnrechung mit grossem Erstaunen leider 62 Verbindungen zu einer 01805 Nummer und 10 Verbindungen zu einer TVoteCall 0137 Nummer feststellen müssen.

Gesamtvolumen gut 90 Euro + MwSt. Puh.

Da an dem ausgehenden Anschluss nur der PC hängt, muss ich von einem Dialler ausgehen (der sogar so frech ist, Kanalbündelung zu benutzen).

In dem betreffenden Zeitraum habe ich ein Trojanisches Pferd gefunden - TR.Dldr.Bandos.f. Bei der 01805 Nummer (die man leider nicht, wie z. B. 0190 Nummer sperren lassen kann, handelt es sich um eine Datennummer - sprich: Pfeifton auf der anderen Seite - es ist die 01805 / 242862, bei der TVoteCall Nummer 01377 / 370013.)

Gibt es hier irgendwelche Hinweise, sind andere auch geschädigt worden?
Welche Möglichkeiten habe ich das Geld nicht zu bezahlen (einspruch bei Telefongesellschaft liegt vor)?

Danke.

Hallo,

scanne dein System mit eScan damit wir wissen wo der Dailer steckt. Lösche auf keinen Fall gefundene Dateien mit Dailernamen, sondern sichere sie auf Diskette wegen Beweisführung. Escan siehe meine Signatur

Dialer-Hinweis


lese im Schadensfall

Danke.

Da wird mir richtig schlecht ...

(habe das findstr in der batch Datei in find geändert (win98) - Ergebnis gepostet ...) Ob allerdings der Dialer dabei ist, keine Ahnung, bin auf Eure Hilfe angewiesen.


Zusatzinfo:

1) Der Rechner ist ziemlich am Ende des eScan abgeschmiert ... deshalb fehlen wohl die Statistik Zeilen ... ich hoffe, Ihr könnt trotzdem etwas damit anfangen?

2) Bei uns hängen 2 PCs (Win98 über LAN an XP, der XP Rechner dann per Fritz!X USB am ISDN) am Netz. Der Win98 Rechner wird eigentlich selten benutzt - und der AntiVir Update hat letztens nicht so recht geklappt - aber mir fallen ja fast die Augen aus ...

3) Beim XP Rechner hat der eScab trotz aktuellem AntiVir auch 2 Funde: Alexa und AltNet. Aber ob da der Dialer dabei ist, weiss ich wie gesagt auch nicht. In dem besagten Zeitraum (Mitte Juni) hatten wir einige Viren und Trojaner auf dem XP Rechner - die sind allerdings gelöscht worden. Insbesondere fällt mir da in den hijack logfiles noch eine timer.exe auf, die wurde definitiv gelöscht.

4) Der Dialer ist auf 3 Tage begrenzt aufgetreten, seidem nicht mehr ... (ist halt blöd mit der Telefonrechnung, die kommt immer erst einen Monat später).

Danke für die Hilfe,
Beatrix

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

---------- c:\bases_x\mwav.log
Mon Aug 01 19:46:30 2005 => System found infected with iSearch Spyware/Adware ({6d3f5de4-e980-4407-a10f-9ac771abaae6})! Action taken: No Action Taken.
Mon Aug 01 19:46:30 2005 => System found infected with Webdialer Spyware/Adware ({02c20140-76f8-4763-83d5-b660107b7a90})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with DyFuCA Spyware/Adware ({40b1d454-9ca4-43cc-86aa-cb175eac52fb})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with DyFuCA Spyware/Adware ({1c01d150-91a4-4de0-9bf8-a35d1bdf1001})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with DyFuCA Spyware/Adware ({00000010-6f7d-442c-93e3-4a4827c2e4c8})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with DyFuCA Spyware/Adware ({8f4e5661-f99e-4b3e-8d85-0ea71c0748e4})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with DyFuCA Spyware/Adware ({cea206e8-8057-4a04-ace9-ff0d69a92297})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with DyFuCA Spyware/Adware ({0be10b0d-b4db-4693-9b1f-9aead54d17dc})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with DyFuCA Spyware/Adware ({AA4939C3-DECA-4A48-A454-97CD587C0EF5})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with DyFuCA Spyware/Adware ({EEE4A2E5-9F56-432F-A6ED-F6F625B551E0})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with IstBAR Spyware/Adware ({5F1ABCDB-A875-46C1-8345-B72A4567E486})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with IstBAR Spyware/Adware ({0985c112-2562-46f2-8da6-92648ba4630f})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with IstBAR Spyware/Adware ({67907b3c-a6ef-4a01-99ad-3fcd5f526429})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with IstBAR Spyware/Adware ({7b9a715e-9d87-4c21-bf9e-f914f2fa953f})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with SideFind Spyware/Adware ({8cba1b49-8144-4721-a7b1-64c578c9eed7})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with SideFind Spyware/Adware ({58634367-d62b-4c2c-86be-5aac45cdb671})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with SideFind Spyware/Adware ({d0288a41-9855-4a9b-8316-babe243648da})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with SideFind Spyware/Adware ({339d8aff-0b42-4260-ad82-78ce605a9543})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with SideFind Spyware/Adware ({a36a5936-cfd9-4b41-86bd-319a1931887f})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with SideFind Spyware/Adware ({a3fdd654-a057-4971-9844-4ed8e67dbbb8})! Action taken: No Action Taken.
Mon Aug 01 19:46:31 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Aug 01 19:46:42 2005 => System found infected with CWS.svcinit Spyware/Adware (mssys.exe)! Action taken: No Action Taken.
Mon Aug 01 19:46:42 2005 => System found infected with CWS.smartsearch Spyware/Adware (\y.exe)! Action taken: No Action Taken.
Mon Aug 01 19:46:42 2005 => System found infected with CWS.smartsearch Spyware/Adware (\x.exe)! Action taken: No Action Taken.
Mon Aug 01 19:50:38 2005 => File C:\WINDOWS\TEMP\SOFF1B1.TMP infected by "Email-Worm.Win32.Mydoom.m" Virus! Action Taken: No Action Taken.
Mon Aug 01 19:57:41 2005 => File C:\WINDOWS\TEMP\SOFF1B1.TMP infected by "Email-Worm.Win32.Mydoom.m" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

---------- c:\bases_x\mwav.log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

---------- c:\bases_X\mwav.log

---------- c:\bases_x\mwav.log

---------- c:\bases_x\mwav.log

---------- c:\bases_x\mwav.log

---------- c:\bases_x\mwav.log
Mon Aug 01 19:45:03 2005 => Virus Database Date: 2005/08/01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Ein Dialer ist bei den Funden nicht dabei, es ist halt schlecht da du schon Sachen gelöscht hast
Zu Alexa lese hier
bei AltNet verhällt es sich wahrscheinlich ähnlich
Den eMail-Wurm lösche von Hand
Windowstaste+R --> temp --> <enter>
Inhalt löschen

Papierkorb leeren

Nach den angezeigten Reg-Einträgen ist vermutlich noch mehr auf dem Rechner
erstelle mal noch ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe

Hallo Gigamail,

danke für die Hilfe.

Ich habe das gesamte Temp Verzeichnis gelöscht und auch den Papierkorb geleert. Hijack benutze ich öfter - habe ich jetzt aber auch in ein eigenes Verzeichnis kopiert.

Der log sieht meiner Meinung nach sehr gut aus (s. unten) - aber da bin ich natürlich für jeden fachmännischen Hinweis dankbar. Die Homepage ist von mir eingetragen, Klicktel habe ich installiert (insofern denke ich, ist der Hinweis ok).

Ich hatte früher mal Probleme mit einigen Viren (u.ä.) - kommen daher die ganzen Einträge aus der Registry? Oder ist da noch was auf dem Rechner?

Ich werde nochmal den escan laufen lassen - und die Auswertung in der nächsten Antwort posten.

Danke, viele Grüße,
Beatrix

Logfile of HijackThis v1.99.1
Scan saved at 14:07:35, on 02.08.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\WINMODEM.101\wmexe.exe
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\PROGRAMME\BROWSER MOUSE\1.3\MOUSE32A.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\MEDIONKEYBOARD\1.3\KBDAP32A.EXE
C:\PROGRAMME\OLYMPUS\CAMEDIA MASTER 4.1\CM_CAMERA.EXE
C:\PROGRAMME\DIGITALE TELEFONAUSKUNFT 2004\KSTART32.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\MAPISP32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dresdner-privat.de/index...nweis_www.html
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [ICQ Net] C:\WINDOWS\winlogon.exe -stealth
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [winmodem] WINMODEM.101\wmexe.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
O4 - Startup: Digitale Telefonauskunft 2004 - Schnellstarter.lnk = C:\Programme\Digitale Telefonauskunft 2004\KSTART32.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

Dein IE ist total veraltet den solltest du mal auf den neuen Stand bringen. Das Log ist wie du schon selber sagst, sauber. Bei den Reg-Einträgen kann es sich tatsächlich um verwaiste Sachen handeln
Lade dir mal Regseeker und reinige damit . Ich hoffe das geht bei Win 98
Wenn du eScan nochmal laufen lassen willst, kein Problem, aber lösche vorher die Logdatei, es wird dann eine neue geschrieben

Habe Regseeker geladen und laufen lassen. Er funktioniert auch unter Win98 . Der erneute (verkürzte) eScan (habe die Platte weggelassen) findet nun nur noch 28 Einträge - also erheblich weniger. Danke für die Hilfe.

Bzgl. dem ursprünglichen Problem werde ich mal abwarten, was meine Telefongesellschaft nun von sich gibt.

IE update ... da hatte ich gezögert, weil beim Download von den MS Seiten bei vielen Bekannten Trojaner und sonstiges unerwünschtes Zeug das Resultat waren.

Anbei nochmal der eScan Post - wenn noch was auffällt, bitte um Nachricht.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

---------- c:\bases_x\mwav.log
Tue Aug 02 16:01:54 2005 => System found infected with Webdialer Spyware/Adware ({02c20140-76f8-4763-83d5-b660107b7a90})! Action taken: No Action Taken.
Tue Aug 02 16:01:55 2005 => System found infected with DyFuCA Spyware/Adware ({40b1d454-9ca4-43cc-86aa-cb175eac52fb})! Action taken: No Action Taken.
Tue Aug 02 16:01:55 2005 => System found infected with DyFuCA Spyware/Adware ({1c01d150-91a4-4de0-9bf8-a35d1bdf1001})! Action taken: No Action Taken.
Tue Aug 02 16:01:55 2005 => System found infected with DyFuCA Spyware/Adware ({00000010-6f7d-442c-93e3-4a4827c2e4c8})! Action taken: No Action Taken.
Tue Aug 02 16:01:55 2005 => System found infected with DyFuCA Spyware/Adware ({AA4939C3-DECA-4A48-A454-97CD587C0EF5})! Action taken: No Action Taken.
Tue Aug 02 16:01:55 2005 => System found infected with DyFuCA Spyware/Adware ({EEE4A2E5-9F56-432F-A6ED-F6F625B551E0})! Action taken: No Action Taken.
Tue Aug 02 16:01:55 2005 => System found infected with IstBAR Spyware/Adware ({0985c112-2562-46f2-8da6-92648ba4630f})! Action taken: No Action Taken.
Tue Aug 02 16:01:55 2005 => System found infected with IstBAR Spyware/Adware ({67907b3c-a6ef-4a01-99ad-3fcd5f526429})! Action taken: No Action Taken.
Tue Aug 02 16:01:55 2005 => System found infected with IstBAR Spyware/Adware ({7b9a715e-9d87-4c21-bf9e-f914f2fa953f})! Action taken: No Action Taken.
Tue Aug 02 16:01:55 2005 => System found infected with SideFind Spyware/Adware ({339d8aff-0b42-4260-ad82-78ce605a9543})! Action taken: No Action Taken.
Tue Aug 02 16:01:55 2005 => System found infected with SideFind Spyware/Adware ({a36a5936-cfd9-4b41-86bd-319a1931887f})! Action taken: No Action Taken.
Tue Aug 02 16:01:55 2005 => System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken.
Tue Aug 02 16:01:55 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Aug 02 16:02:04 2005 => System found infected with CWS.svcinit Spyware/Adware (mssys.exe)! Action taken: No Action Taken.
Tue Aug 02 16:02:05 2005 => System found infected with CWS.smartsearch Spyware/Adware (\y.exe)! Action taken: No Action Taken.
Tue Aug 02 16:02:05 2005 => System found infected with CWS.smartsearch Spyware/Adware (\x.exe)! Action taken: No Action Taken.
Tue Aug 02 16:07:39 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

---------- c:\bases_x\mwav.log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

---------- c:\bases_X\mwav.log
Tue Aug 02 16:07:39 2005 => Total Virus(es) Found: 28

---------- c:\bases_x\mwav.log
Tue Aug 02 16:07:39 2005 => Total Errors: 37

---------- c:\bases_x\mwav.log
Tue Aug 02 16:07:39 2005 => Time Elapsed: 00:06:19

---------- c:\bases_x\mwav.log
Tue Aug 02 16:07:39 2005 => Total Objects Scanned: 8020

---------- c:\bases_x\mwav.log
Tue Aug 02 16:00:45 2005 => Virus Database Date: 2005/08/01
Tue Aug 02 16:07:39 2005 => Virus Database Date: 2005/08/01
Tue Aug 02 16:13:32 2005 => Virus Database Date: 2005/08/01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

der eScan wurde nicht richtig im abgesicherten Modus ausgeführt, oder die Haken waren nmicht richtig gesetzt(siehe Anleitung in meiner Signatur) und hast du die alte Logdatei vor dem scannen gelöscht? Hatte ich doch mit gepostet

Zitat:

Tue Aug 02 16:07:39 2005 => Time Elapsed: 00:06:19