Hallo,

Seit gestern bekomme ich immer wieder die Fehlermeldung (siehe Anhang) und wenn ich auf ok klicke wird meine Internetverbindung getrennt. Ich habe ADSL und daher sollte mir ein Dialer doch nix anmachen können Bevor die Meldung kommt sehe ich für einen ganz kurzen Augenblick in der linken oberen Ecke ein Dialogfeld aufblitzen, was aber sofort wieder verschwindet

Außerdem habe ich im Hintergrund auch noch Prozesse laufen mit Namen wie idd2046.tmp.exe oder win1F6A.tmp.exe. Ich glaube die haben mit diesem Problem etwas zu tun. Aber auch wenn ich im Task-Manager diese Prozesse beende starten sie weniger später wieder neu -.- Heute Vormittag habe ich schon einmal die Suchfunktion in diesem Forum verwendet und daraufhin SmitfraudFix runtergeladen und im abgesicherten Modus ausgeführt. Außerdem habe ich noch Spybot und Ad-Aware im abgesicherten Modus drüber rennen lassen, haben beide was gefunden, und BitDefender hat auch noch einen Scan gemacht, ebenfalls ein paar Treffer.

Bei Spybot hatte ich schon länger Smitfraud.C und wenn ich scanne wird auch alles gelöscht, bis auf den Ordner Toolbar888 in C. Dieser Ordner war leer (auch keine versteckten Datein), hat sich aber auch im abgesicherten Modus mit Killbox nicht löschen lassen. Anscheinend wurde dieser Ordner aber am Vormittag gelöscht, weil gerade eben hat Spybot keine Spione gefunden

Mir geht es aber primär um den 'Dialer', welche Spy-/Ad-/Maleware ist dafür verantworlich und wie krieg ich das weg?

lg

RemoteC

Nachdem anscheinend niemand diese Fehlermeldung kennt habe ich mal HijackThis laufen lassen, hier ist das Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 12:03:41, on 06.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\ASUS Probe\AsusProb.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\ZoneAlarm\zlclient.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\win1F6C.tmp.exe
C:\WINDOWS\TEMP\idd2284.tmp.exe
C:\DOKUME~1\RemoteC\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ASUS Probe] d:\ASUS Probe\AsusProb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "D:\ZoneAlarm\zlclient.exe"
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
_________________________________________________

Ich habe den Scan gemacht als die Fehlermeldung (sieh Anhang in Post #1) erschienen ist, in der Hoffnung die Prozesse die damit in Verbindung stehen "einfangen" zu können. Die, mir persönlich sehr verdächtigen, Prozesse habe ich rot markiert. Die Prozesse heißen immer win????.tmp.exe und idd????.tmp.exe. Das ? steht für eine Hexadezimale Ziffer (--> Speicheradresse?!).

Habe gerade vorhin nochmal Spybot und Ad-Aware laufen lassen, keine Treffer -.-

Bitte helft mir,

RemoteC

Guten Morgen,

lasse die Dir Verdächtigen Datein doch mal bei Jotti und Virustotal auswerten. Link in meiner SIG!
Poste das Ergebnis, auch wenn nichts gefunden werden sollte ist wes wichtig, was in der "Größe" der Datei steht!


Gruß Mellosun

Ich hab da ja eine ganze "Farm" von diesen Datein unter C:\Windows\temp O_ô Hab einfach mal 2 Datein "rausgepickt", bis auf die Hex-Zahl heißen sie gleich und haben auch die gleich Größe.

Jotti:
______________________________
idd20B3.tmp.exe

Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
UPX

AntiVir
Dialer/Generic dialer gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Trojan.PornDialer.K gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Dial/Agent gefunden
Kaspersky Anti-Virus
not-a-virus:Porn-Dialer.Win32.Agent.z gefunden
NOD32
a variant of Win32/Dialer.PornDial.F application gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Porn-Dialer.Win32.Agent.z gefunden
_________________________________
win1F6A.tmp.exe

Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir
Trojan/PornDialer.K gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Trojan.PornDialer.K gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
PECompact gefunden
Kaspersky Anti-Virus
PECompact gefunden (mögliche Variante)
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden
___________________________
VirusTotal:
___________________________
idd20B3.tmp.exe

AntiVir 6.35.1.0 08.05.2006 DIAL/Generic
Authentium 4.93.8 08.06.2006 no virus found
Avast 4.7.844.0 08.04.2006 no virus found
AVG 386 08.05.2006 no virus found
BitDefender 7.2 08.06.2006 Trojan.PornDialer.K
CAT-QuickHeal 8.00 08.04.2006 no virus found
ClamAV devel-20060426 08.06.2006 no virus found
DrWeb 4.33 08.06.2006 no virus found
eTrust-InoculateIT 23.72.87 08.04.2006 no virus found
eTrust-Vet 12.6.2324 08.04.2006 no virus found
Ewido 4.0 08.05.2006 no virus found
Fortinet 2.77.0.0 08.06.2006 Dial/Agent
F-Prot 3.16f 08.06.2006 no virus found
F-Prot4 4.2.1.29 08.06.2006 no virus found
Ikarus 0.2.65.0 08.04.2006 no virus found
Kaspersky 4.0.2.24 08.06.2006 not-a-virus:Porn-Dialer.Win32.Agent.z
McAfee 4822 08.04.2006 potentially unwanted program Dialer-gen
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1694 08.05.2006 a variant of Win32/Dialer.PornDial.F
Norman 5.90.23 08.04.2006 no virus found
Panda 9.0.0.4 08.05.2006 Suspicious file
Sophos 4.08.0 08.05.2006 no virus found
Symantec 8.0 08.06.2006 no virus found
TheHacker 5.9.8.186 08.04.2006 Dialer/Generico
UNA 1.83 08.04.2006 no virus found
VBA32 3.11.0 08.06.2006 Porn-Dialer.Win32.Agent.z
VirusBuster 4.3.7:9 08.05.2006 no virus found

Aditional Information
File size: 24096 bytes
MD5: d64be8ffbbcc734e89cdd9e25e15bbe2
SHA1: 6ebc04fa8c647eb416b6f9e2e8b5189596432f38
packers: UPX
_____________________________
win1F6A.tmp.exe

AntiVir 6.35.1.0 08.05.2006 TR/PornDialer.K
Authentium 4.93.8 08.06.2006 no virus found
Avast 4.7.844.0 08.04.2006 no virus found
AVG 386 08.05.2006 no virus found
BitDefender 7.2 08.06.2006 Trojan.PornDialer.K
CAT-QuickHeal 8.00 08.04.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 08.06.2006 no virus found
DrWeb 4.33 08.06.2006 no virus found
eTrust-InoculateIT 23.72.87 08.04.2006 no virus found
eTrust-Vet 12.6.2324 08.04.2006 no virus found
Ewido 4.0 08.05.2006 no virus found
Fortinet 2.77.0.0 08.06.2006 PECompact
F-Prot 3.16f 08.06.2006 no virus found
F-Prot4 4.2.1.29 08.06.2006 no virus found
Ikarus 0.2.65.0 08.04.2006 no virus found
Kaspersky 4.0.2.24 08.06.2006 PECompact
McAfee 4822 08.04.2006 no virus found
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1694 08.05.2006 no virus found
Norman 5.90.23 08.04.2006 no virus found
Panda 9.0.0.4 08.05.2006 no virus found
Sophos 4.08.0 08.05.2006 no virus found
Symantec 8.0 08.06.2006 no virus found
TheHacker 5.9.8.186 08.04.2006 no virus found
UNA 1.83 08.04.2006 no virus found
VBA32 3.11.0 08.06.2006 no virus found
VirusBuster 4.3.7:9 08.05.2006 no virus found

Aditional Information
File size: 32768 bytes
MD5: d3091b63decf6cb827b45333b6b46378
SHA1: 8fa8bcffa9da06956623cb5cba665f9d6c07bf8f
packers: PecBundle, PECompact
_____________________________

Alles in allem schreit das nach neu aufsetzen und Windows in Zukunft nur noch in einer VM unter Linux laufen lassen Auch was ich über Google und die Boardsuche gefunden habe bestätigt das nur ...

mfg

RemoteC

PS: Ich hoffe das mit der roten Formatierung ist ok.

Hallo,

habe Deinen letzten Satz net so ganz Verstanden! Neuaufsetzen ist natürlich immer die sicherste Methode.
Hab auch ml etwas Google bemüht.
Wenn du es erstmal so versuchen willst, dann schau mal hier . Da hatte jemand das gleiche Problem. Vielleicht hilft Dir das und du folgst den Schritten die dort angegeben wurden!



Gruß Mellosun

Zitat:

Zitat von Mellosun

Hallo,

habe Deinen letzten Satz net so ganz Verstanden! Neuaufsetzen ist natürlich immer die sicherste Methode.
Hab auch ml etwas Google bemüht.
Wenn du es erstmal so versuchen willst, dann schau mal hier . Da hatte jemand das gleiche Problem. Vielleicht hilft Dir das und du folgst den Schritten die dort angegeben wurden!

1. Ich habe gemeint, dass ich in Zukunft nur noch in Linux surfen/arbeiten werde und für Windows-Programme eine Virtuelle Maschine wie zB Wine verwende. Windows wird zwar auch drauf kommen aber nur für den äußersten Notfall und nicht so wie momentan für ca. 95% aller Fälle. Leider hat bei Suse 10.0 die Internetverbindung nicht gefunzt, wollte er einfach nicht erkennen (dabei gabs meinen Provider sogar in der Auswahlliste). Hoffentlich ist das bei 10.1, was ich mir dann auch gleich raufhauen werde, besser.

2. U.a. diesen Forumlink habe auch ich schon mit Google gefunden. Auch hier im Trojaner-Board gibt es min. einen Thread der sich diesem Problem annimmt ("Italienischer Dialer" heißt der Thread glaub ich). Nur wenn ich mir da durchlese wieviele Programme ich da installieren muss und logs auswerten usw. usw. ist neu aufsetzen schneller gemacht und sicherer sowieso.

Ich warte trotzdem mal was mir noch für Tipps gegeben werden. Ich glaube nämlich bis auf diesen "Dialer" habe ich ein recht sauberes System, zumindest laut den logs von HJT und Virenscannern die ich installiert habe

lg

RemoteC