Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Schön versauter PC mit Dialer und anderem

Schön versauter PC mit Dialer und anderem


Log-Analyse und Auswertung: Schön versauter PC mit Dialer und anderem

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 15.11.2007, 22:50   #1
BlackPriest
 
Schön versauter PC mit Dialer und anderem - Daumen runter

Schön versauter PC mit Dialer und anderem


Hallo Leute.

Habe hier nen PC von einem Bekannten.
So wie`s aussieht werde ich um eine Neuinstallation nicht rumkommen.
Er hat ne 500€ Tel.Rechnung daheim liegen.

Sieht nicht sehr gut aus.

LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:04, on 15.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
c:\programme\panda software\panda platinum 2005 internet security\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\wscntfy.exe
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\AntiSpam\pskmssvc.exe
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\psimsvc.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\apvxdwin.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\mrofinu1204.exe
C:\aulfadoo.exe
C:\Tools\Unlocker\UnlockerAssistant.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\system32\wincheckp4.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Insider\Insider.exe
C:\Programme\WinAble\winable.exe
C:\DOKUME~1\XXXX\ANWEND~1\ICROSO~1.NET\attrib.exe
C:\WINDOWS\F?nts\r?gsvr32.exe
C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\WinTouch\WinTouch.exe
C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Windows\rayiou.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE
c:\programme\panda software\panda platinum 2005 internet security\WebProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Tools\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {D78F9737-6ABD-0842-F11E-09CB41B472A5} - C:\WINDOWS\system32\mefj.dll
O2 - BHO: (no name) - {E2A2A737-478E-3D76-DC2E-39E671845F95} - C:\WINDOWS\system32\mefj.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1204.exe 61A847B5BBF72813309B3C466188719AB689201522886B092CBD44BD8689220221DD325762EA4EBF968951185EFC412806867680AEDE604D64C2661373FB11E7DCD66A47
O4 - HKLM\..\Run: [aulfadoo.exe] C:\aulfadoo.exe
O4 - HKLM\..\Run: [Winupdates] wincheckp4.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Tools\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Insider] C:\Programme\Insider\Insider.exe
O4 - HKCU\..\Run: [WinAble] C:\Programme\WinAble\winable.exe
O4 - HKCU\..\Run: [Wcrn] "C:\DOKUME~1\XXXX\ANWEND~1\ICROSO~1.NET\attrib.exe" -vt yazb
O4 - HKCU\..\Run: [Usvlgrfa] C:\WINDOWS\F?nts\r?gsvr32.exe
O4 - HKCU\..\Run: [WinTouch] C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\WinTouch\WinTouch.exe
O4 - HKCU\..\Run: [SfKg6w] C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Windows\rayiou.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130312776125
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130483873390
O20 - Winlogon Notify: crehcjid - C:\WINDOWS\SYSTEM32\crehcjid.dll
O20 - Winlogon Notify: p - p (file missing)
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft wscntfy Service - Unknown owner - C:\WINDOWS\wscntfy.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\programme\panda software\panda platinum 2005 internet security\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\psimsvc.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe

--
End of file - 8675 bytes

Vielen Dank für Eure Mühen hier im Forum.

bis dann...
BlackPriest

Alt 15.11.2007, 23:10   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schön versauter PC mit Dialer und anderem - Standard

Schön versauter PC mit Dialer und anderem


Zitat:
Er hat ne 500€ Tel.Rechnung daheim liegen.
Nix machen am Rechner! Nur vom Netz trennen, eine geeignete Software wie z.B. Acronis besorgen und ein Image der Systempartition anfertigen. Grund: So hat man was in der Hand, wenn man die Behauptung aufstellt, ein Dialer oder andere Malware hätte die Kosten verursacht.
Welche Nummern wurden denn angewählt?

Wie surft er? mit DSL oder noch mit ISDN/analog? Wenn über DSL, ist ein Modem oder ein ISDN-Adapter aktiv angeschlossen und war bereit eine Verbindung aufzubauen?

Das System jetzt ist jedenfalls eine einzige Seuche, da werkelt extrem viel Malware:

Code:
ATTFilter
C:\WINDOWS\mrofinu1204.exe
C:\aulfadoo.exe
C:\WINDOWS\system32\wincheckp4.exe
C:\Programme\Insider\Insider.exe
C:\WINDOWS\F?nts\r?gsvr32.exe
C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\WinTouch\WinTouch.exe
C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Windows\rayiou.exe
O2 - BHO: (no name) - {D78F9737-6ABD-0842-F11E-09CB41B472A5} - C:\WINDOWS\system32\mefj.dll
O2 - BHO: (no name) - {E2A2A737-478E-3D76-DC2E-39E671845F95} - C:\WINDOWS\system32\mefj.dll
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1204.exe 61A847B5BBF72813309B3C466188719AB689201522886B092C BD44BD8689220221DD325762EA4EBF968951185EFC41280686 7680AEDE604D64C2661373FB11E7DCD66A47
O4 - HKLM\..\Run: [aulfadoo.exe] C:\aulfadoo.exe
O4 - HKLM\..\Run: [Winupdates] wincheckp4.exe
O4 - HKCU\..\Run: [Insider] C:\Programme\Insider\Insider.exe
O4 - HKCU\..\Run: [WinAble] C:\Programme\WinAble\winable.exe
O4 - HKCU\..\Run: [Wcrn] "C:\DOKUME~1\XXXX\ANWEND~1\ICROSO~1.NET\attrib.exe " -vt yazb
O4 - HKCU\..\Run: [Usvlgrfa] C:\WINDOWS\F?nts\r?gsvr32.exe
O4 - HKCU\..\Run: [WinTouch] C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\WinTouch\WinTouch.exe
O4 - HKCU\..\Run: [SfKg6w] C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Windo ws\rayiou.exe
O20 - Winlogon Notify: crehcjid - C:\WINDOWS\SYSTEM32\crehcjid.dll
O20 - Winlogon Notify: p - p (file missing)

Bereinigung völlig ausgeschlossen, das System muss definitiv neu aufgesetzt werden!
__________________

__________________
Alt 15.11.2007, 23:52   #3
BlackPriest
 
Schön versauter PC mit Dialer und anderem - Standard

Schön versauter PC mit Dialer und anderem


Hallo cosinus

Danke für Deine schnelle Antwort.
Habe ein Image gezogen und zusätzlich noch die ganze C: auf ne
USB-platte gesichert (mit ner BOOT-CD hochgefahren).

Der Rechner geht über Bluetooth ISDN ins Netz. Leider

Die Telefonnummer ist auf dem PC nicht mehr zu finden. War leider schon jemand anderes vor mir dran.

Über einen Bekannten bei der Telekom habe ich den genauen Zeitpunkt, die Telefonnummer und die angebliche Glückspielfirma rausbekommen.

Alle 11 Sekunden 1€

War ne 0137-7xxxxxxx. Möchte jetzt hier nicht die komplette Nummer posten.

Hoffentlich kann ich Ihm noch helfen damit er nicht bezahlen muss.

Echt ne absolute Frechheit sowas.

bis dann...
BlackPriest
__________________
Alt 16.11.2007, 00:03   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schön versauter PC mit Dialer und anderem - Standard

Schön versauter PC mit Dialer und anderem


Okay, Image erstellt, nun hast du was handfestes.
Ich hoffe, die Person vor dir hat nicht zuviele Beweise entfernt...

Vllt. hilft dir auch dieser Artikel weiter: Was tun als Opfer von 0137 und 0900: computerbetrug.de und dialerschutz.de
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Schön versauter PC mit Dialer und anderem
administrator, adobe, bho, cyberlink, dateien, einstellungen, explorer, firewall, google, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, locker, messenger, micro, microsoft, pdf, programme, s-1-5-18, security, software, system, system32, trend micro, updates, vielen dank, windows, windows xp


« Wurm Allaple.GEN | Wie siehts bei mir aus? »


Ähnliche Themen: Schön versauter PC mit Dialer und anderem


  1. Danke schön an Deathkid535
    Lob, Kritik und Wünsche - 22.09.2015 (2)
  2. Danke schön!
    Lob, Kritik und Wünsche - 07.09.2015 (0)
  3. Herzliches Danke schön an Schrauber
    Lob, Kritik und Wünsche - 28.07.2015 (1)
  4. Fettes Danke schön an schrauber! :)
    Lob, Kritik und Wünsche - 25.07.2015 (1)
  5. Danke schön Schrauber!
    Lob, Kritik und Wünsche - 14.11.2014 (0)
  6. Danke schön Schrauber.
    Lob, Kritik und Wünsche - 13.11.2014 (0)
  7. Danke schön!
    Lob, Kritik und Wünsche - 19.10.2014 (0)
  8. GlassWire: Netzwerkmonitor und Firewall in schön
    Nachrichten - 26.08.2014 (0)
  9. Danke Schön an Schrauber
    Lob, Kritik und Wünsche - 12.05.2014 (0)
  10. Ein dickes Danke Schön an Schrauber
    Lob, Kritik und Wünsche - 18.08.2013 (0)
  11. Danke schön - ihr seid Spiiitze!
    Lob, Kritik und Wünsche - 11.05.2013 (0)
  12. Danke schön!
    Lob, Kritik und Wünsche - 17.03.2010 (1)
  13. Hilfe ! Dialer oder nicht Dialer ?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2006 (1)
  14. Ganz schön verseucht, oder?!?!?
    Log-Analyse und Auswertung - 22.11.2005 (4)
  15. Danke Schön !
    Log-Analyse und Auswertung - 09.01.2005 (1)
  16. Alles Schön und Gut aber ...
    Lob, Kritik und Wünsche - 09.04.2004 (38)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Schön versauter PC mit Dialer und anderem - Hallo Leute. Habe hier nen PC von einem Bekannten. So wie`s aussieht werde ich um eine Neuinstallation nicht rumkommen. Er hat ne 500€ Tel.Rechnung daheim liegen. Sieht nicht sehr gut - Schön versauter PC mit Dialer und anderem...
Archiv
Du betrachtest: Schön versauter PC mit Dialer und anderem auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131