|
Plagegeister aller Art und deren Bekämpfung: DIAL/300867 (Dialer)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.08.2004, 18:28 | #1 |
| DIAL/300867 (Dialer) Habe mir irgendwo einen Trojaner/Dialer eingefangen und bin leider net so bewandert den auch wieder wegzukriegen. Auf Dauer geht mir jetzt doch der AntiVir Guard auf den Senkel. Wäre wirklich nett, wenn mit mal einer von den Experten nen Tipp geben könnte. Unten schonmal das Logfile aus HijackThis: Vorab bereits vielen Dank!!!! Logfile of HijackThis v1.97.7 Scan saved at 19:24:39, on 23.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\runwin32.exe C:\WINDOWS\wininet32.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\WINDOWS\runwin32.exe C:\WINDOWS\runwin32.exe C:\WINDOWS\runwin32.exe C:\WINDOWS\runwin32.exe C:\Dokumente und Einstellungen\Björn\Desktop\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://global.acer.com/ O2 - BHO: (no name) - {529023C1-A40A-4C45-99C4-D1CBB4EAB57D} - C:\WINDOWS\madopew.dll (file missing) O2 - BHO: sr - {FC2593E3-3E5A-410F-AF3D-82613CCE58E5} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.de/downloads/BUM/BU...1/axofupld.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} |
23.08.2004, 18:33 | #2 |
Administrator, a.D. | DIAL/300867 (Dialer) Hallo,
__________________Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp Beende diese Prozesse: C:\WINDOWS\runwin32.exe C:\WINDOWS\wininet32.exe C:\WINDOWS\runwin32.exe C:\WINDOWS\runwin32.exe C:\WINDOWS\runwin32.exe C:\WINDOWS\runwin32.exe Fixe diese Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://global.acer.com/ O2 - BHO: (no name) - {529023C1-A40A-4C45-99C4-D1CBB4EAB57D} - C:\WINDOWS\madopew.dll (file missing) O2 - BHO: sr - {FC2593E3-3E5A-410F-AF3D-82613CCE58E5} - (no file) O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.de/downloads/BUM/B..._1/axofupld.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} Wechsle in den abgesicherten Modus und lösche diese Dateien: C:\WINDOWS\runwin32.exe C:\WINDOWS\wininet32.exe - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) - Neustart - neue Startseite vergeben - neues Log-File von HijackThis und das Log von eScan posten Ps. Deine HijackThis Version ist veraltert, bitte neu runterladen.
__________________ |
23.08.2004, 18:33 | #3 |
| DIAL/300867 (Dialer) Edit: OK, Cidre hat schon Stellung bezogen. ;-)
__________________Edit 2: Bitte ein LogFile mit der aktuellen HijackThis-Version erstellen! |
23.08.2004, 18:37 | #4 |
| DIAL/300867 (Dialer) Ey caramba! Das war fix. Werde ich gleich mal ausprobieren, sage dann mal bescheid ob es geklappt hat! |
23.08.2004, 18:43 | #5 | |||||
| DIAL/300867 (Dialer) Hallo Zitat:
Zitat:
Zitat:
http://securityresponse.symantec.com...l.allight.html Zitat:
Zitat:
|
23.08.2004, 18:46 | #6 | |
| DIAL/300867 (Dialer) @Cidre Zitat:
|
23.08.2004, 18:54 | #7 | |
Administrator, a.D. | DIAL/300867 (Dialer)Zitat:
War nur zu faul.... |
23.08.2004, 20:04 | #8 |
| DIAL/300867 (Dialer) So habe erstmal den Versuch gestartet wie Cidre (an dieser Stelle: Prost!) es vorgeschlagen hat. Also hier die neuen Logfiles: Escan: File C:\WINDOWS\fierm.avi infected by "TrojanDropper.Win32.Delf.cy" Virus. Action Taken: File Deleted. File C:\WINDOWS\podnl1.exe infected by "TrojanDownloader.Win32.Small.il" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\notepad.exe infected by "TrojanDownloader.Win32.Small.kg" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Björn\Eigene Dateien\sklave an Gnomcomputer sagt Guten Tag (gnom)\stuff\gozilla123.exe infected by "not-a-virus:AdvWare.Aureate" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y15MNEHS\seksdialer[3].exe infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L3NFD9K2\seksdialer[2].exe infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4J3V64HT\seksdialer[2].exe infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\Windows Media Player\wmplayer.exe.tmp infected by "TrojanDownloader.Win32.Agent.bi" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\SEKSDIALER[1].EXE.VIR infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\DIALUP.EXE.VIR infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\DIALUP.EXE.001 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\DIALUP.EXE.002 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\SEKSDIALER[1].EXE.001 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\DIALUP.EXE.003 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\DIALUP.EXE.004 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\DIALUP.EXE.005 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\SEKSDIALER[1].EXE.002 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\SEKSDIALER[1].EXE.003 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\DIALUP.EXE.006 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\SEKSDIALER[1].EXE.004 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\DIALUP.EXE.007 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\DIALUP.EXE.008 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\DIGFILT.DLL.VIR infected by "Trojan.Win32.Scagent.c" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\DIALUP.EXE.009 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\DIALUP.EXE.010 infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP14\A0000286.exe infected by "TrojanDownloader.Win32.Agent.bi" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP52\A0001836.EXE infected by "Trojan.Win32.Scagent.c" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP53\A0001860.exe infected by "TrojanDownloader.Win32.Small.il" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP53\A0001861.exe infected by "TrojanDownloader.Win32.Small.kg" Virus. Action Taken: File Deleted. File C:\Recycled\Dc40.exe infected by "TrojanDownloader.Win32.Xuma.gen" Virus. Action Taken: File Deleted. File C:\Recycled\Dc41.exe infected by "TrojanProxy.Win32.Raznew.gen" Virus. Action Taken: File Deleted. und dann noch HijackThis: Logfile of HijackThis v1.97.7 Scan saved at 20:54:18, on 23.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Björn\Desktop\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://global.acer.com/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) So was sagt mir das nun, respektive euch? Ofoto habe ich jetzt erstmal mit gefixt. |
23.08.2004, 20:21 | #9 |
Administrator, a.D. | DIAL/300867 (Dialer) Bei dieser massiven Verseuchung solltest du ein Neuaufetzen deines Systems in Erwägung ziehen. Dein Log-File scheint sauber zu sein, aber ob dein System wirklich clean ist, das kann dir keiner garantieren. Um die Sicherheit deines Sytems zu erhöhen, solltest du diese Punkte abarbeiten: - Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen - NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ - dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html |
23.08.2004, 20:27 | #10 |
| DIAL/300867 (Dialer) Na dann werde ich das mal abarbeiten. Vielen Dank schonmal! |
23.08.2004, 20:39 | #11 |
Administrator, a.D. | DIAL/300867 (Dialer) Gern geschehen. |
Themen zu DIAL/300867 (Dialer) |
adobe, antivir, antivir guard, bho, boot, button, cyberlink, dateien, desktop, einstellungen, explorer, file missing, hijack, hijackthis, ics, internet, internet explorer, launch, links, logfile, messenger, microsoft, programme, software, system, system32, vielen dank, windows, windows xp |