| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.10.2004, 13:23
| #1 |
 |  Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt! Hi hab hir vor ner Woche folgenes Prob. dargelegt. Zitat: hi. hab mit NAV 04 dialer "explorer.exe" gefunden und jetz is explorer und INetExplorer verändert. NAV04 kann ihn bloss ned löschen. kann mir einer sagen wie ich diesen löschen kann? oder welches tool ich nehmen muss um den löschen zu könn . vielen dank ikm vorraus für die hilfe. Log-Datei von HiJackThis: Logfile of HijackThis v1.98.2 Scan saved at 16:00:24, on 27.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\WINNT\System32\svchost.exe C:\Programme\Norton Systemworks 2004 Pro\Norton Ghost\GhostStartService.exe C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\ZONEAL~1.553\zlclient.exe C:\WINNT\system32\RUNDLL32.EXE H:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP 5.3\DAPBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\NavShExt.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP 5.3\DAPIEBar.dll O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Lexmark X74-X75] REM "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1.553\zlclient.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Steam] REM "d:\cstrike\steam.exe" -silent O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP5~1.3\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP5~1.3\dapextie2.htm O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP5~1.3\DAP.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab unter systemstart steht explorer.exe aber ich hab schiss dass der normale explorer dadurch gelöscht wird. highjackthis hat nichts gebracht (hab verdächtige gruppen gefixed), is alles so wie beim alten. gibbet kein tool was den aufspürt und löscht? cu denn u. thx im vorraus. Darauf hit der Tipp: - von *Christian* AW: Dialer "explorer.exe" gefunden. was nun? -------------------------------------------------------------------------------- Falls du nicht mit DSL ins Internet gehst, solltest du den Dialer zwecks Beweissicherung auf einer Diskette abspeichern. Fixe mit HijackThis dies: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab Anschließend diese Datei im abgesicherten Modus löschen: C:\WINNT\system32\ADV.dll Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083 __________________ Hab ich mit escan gescand und er hat 2 viren gefunden. eine davon war die ADV-datei die ich mit highjackthis fixen sollte. die wurde von escan gelöscht und dann noch son dailer. Hir die logdatei die mit 2 gelöschten dailern: . . . . . . . => Options Selected by User: Fri Oct 01 13:20:58 2004 => Memory Check: Enabled Fri Oct 01 13:20:58 2004 => Registry Check: Enabled Fri Oct 01 13:20:58 2004 => StartUp Folder Check: Enabled Fri Oct 01 13:20:58 2004 => System Folder Check: Enabled Fri Oct 01 13:20:58 2004 => System Area Check: Disabled Fri Oct 01 13:20:58 2004 => Services Check: Enabled Fri Oct 01 13:20:58 2004 => Drive Check: Disabled Fri Oct 01 13:20:58 2004 => All Drive Check :Enabled Fri Oct 01 13:20:58 2004 => Scanning Type: Scan And Clean Fri Oct 01 13:20:58 2004 => Folder Check: Disabled . . . . . Fri Oct 01 13:21:00 2004 => Scanning File C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\ActiveX\ACROIE~1.DLL Fri Oct 01 13:21:00 2004 => {9EAC0102-5E61-2312-BC2D-414456544F4E} = C:\WINNT\system32\ADV.dll Fri Oct 01 13:21:00 2004 => Scanning File C:\WINNT\system32\ADV.dll Fri Oct 01 13:21:00 2004 => File C:\WINNT\system32\ADV.dll infected by "not-a-virus:AdvWare.ToolBar.Tubby.b" Virus. Action Taken: File Renamed. . . Fri Oct 01 13:24:05 2004 => Scanning File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IATUV567\explorer53[1].cab Fri Oct 01 13:24:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IATUV567\explorer53[1].cab infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: File Deleted. . . Fri Oct 01 13:36:00 2004 => Total Number of Files Scanned: 11899 Fri Oct 01 13:36:00 2004 => Total Number of Virus(es) Found: 2 Fri Oct 01 13:36:00 2004 => Total Number of Disinfected Files: 0 Fri Oct 01 13:36:00 2004 => Total Number of Files Renamed: 1 Fri Oct 01 13:36:00 2004 => Total Number of Deleted Files: 1 Fri Oct 01 13:36:00 2004 => Total Number of Errors: 2 Fri Oct 01 13:36:00 2004 => Time Elapsed: 00:15:00 Fri Oct 01 13:36:00 2004 => ***** Scanning complete. ***** Fri Oct 01 13:36:00 2004 => Virus Database Date: 2004/10/01 Fri Oct 01 13:36:00 2004 => Virus Database Count: 104798 Fri Oct 01 13:36:00 2004 => Scan Completed.[/I] also der explorer und so is jetz wieder normal,aber wenn ich ins inet geh kommt immer die komische startseite und will ne datei downloaden (ca. 5kb gross). und der explorer will auch in inet (hab mit zonealarm ersmal gesperrt). kann mir einer bitte weitere instruktionen geben? danke u. danke im vorraus. |
| Themen zu Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt! |
| abgesicherten modus, acroiehelper.dll, administrator, adobe, antivirus, bho, content.ie5, dll, dsl, einstellungen, gesperrt, gruppe, highjackthis, hijack, hijackthis, infected, internet, internet explorer, logon.exe, nvcpl.dll, programme, registry, rundll, services.exe, software, svchost.exe, symantec, system, vielen dank, viren, windows, winlogon.exe, \system32\services.exe |
Baum-Darstellung