Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Alt 01.10.2004, 13:23   #1
bUUsenlilly
 
Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt! - Standard

Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt!



Hi
hab hir vor ner Woche folgenes Prob. dargelegt. Zitat:


hi.
hab mit NAV 04 dialer "explorer.exe" gefunden und jetz is explorer und INetExplorer verändert. NAV04 kann ihn bloss ned löschen. kann mir einer sagen wie ich diesen löschen kann? oder welches tool ich nehmen muss um den löschen zu könn . vielen dank ikm vorraus für die hilfe.

Log-Datei von HiJackThis:
Logfile of HijackThis v1.98.2
Scan saved at 16:00:24, on 27.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Norton Systemworks 2004 Pro\Norton Ghost\GhostStartService.exe
C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONEAL~1.553\zlclient.exe
C:\WINNT\system32\RUNDLL32.EXE
H:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP 5.3\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP 5.3\DAPIEBar.dll
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X74-X75] REM "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1.553\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] REM "d:\cstrike\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP5~1.3\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP5~1.3\dapextie2.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP5~1.3\DAP.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab


unter systemstart steht explorer.exe aber ich hab schiss dass der normale explorer dadurch gelöscht wird. highjackthis hat nichts gebracht (hab verdächtige gruppen gefixed), is alles so wie beim alten. gibbet kein tool was den aufspürt und löscht?
cu denn u. thx im vorraus.


Darauf hit der Tipp: - von *Christian*
AW: Dialer "explorer.exe" gefunden. was nun?

--------------------------------------------------------------------------------

Falls du nicht mit DSL ins Internet gehst, solltest du den Dialer zwecks Beweissicherung auf einer Diskette abspeichern.

Fixe mit HijackThis dies:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://thenewsearch.com/thenewsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} -
C:\WINNT\system32\ADV.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

Anschließend diese Datei im abgesicherten Modus löschen: C:\WINNT\system32\ADV.dll

Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083
__________________



Hab ich mit escan gescand und er hat 2 viren gefunden. eine davon war die ADV-datei die ich mit highjackthis fixen sollte. die wurde von escan gelöscht und dann noch son dailer. Hir die logdatei die mit 2 gelöschten dailern:

.
.
.
.
.
.
.
=> Options Selected by User:
Fri Oct 01 13:20:58 2004 => Memory Check: Enabled
Fri Oct 01 13:20:58 2004 => Registry Check: Enabled
Fri Oct 01 13:20:58 2004 => StartUp Folder Check: Enabled
Fri Oct 01 13:20:58 2004 => System Folder Check: Enabled
Fri Oct 01 13:20:58 2004 => System Area Check: Disabled
Fri Oct 01 13:20:58 2004 => Services Check: Enabled
Fri Oct 01 13:20:58 2004 => Drive Check: Disabled
Fri Oct 01 13:20:58 2004 => All Drive Check :Enabled
Fri Oct 01 13:20:58 2004 => Scanning Type: Scan And Clean
Fri Oct 01 13:20:58 2004 => Folder Check: Disabled

.
.
.
.
.
Fri Oct 01 13:21:00 2004 => Scanning File C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\ActiveX\ACROIE~1.DLL
Fri Oct 01 13:21:00 2004 => {9EAC0102-5E61-2312-BC2D-414456544F4E} = C:\WINNT\system32\ADV.dll
Fri Oct 01 13:21:00 2004 => Scanning File C:\WINNT\system32\ADV.dll
Fri Oct 01 13:21:00 2004 => File C:\WINNT\system32\ADV.dll infected by "not-a-virus:AdvWare.ToolBar.Tubby.b" Virus. Action Taken: File Renamed.
.
.
Fri Oct 01 13:24:05 2004 => Scanning File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IATUV567\explorer53[1].cab
Fri Oct 01 13:24:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IATUV567\explorer53[1].cab infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: File Deleted.
.
.
Fri Oct 01 13:36:00 2004 => Total Number of Files Scanned: 11899
Fri Oct 01 13:36:00 2004 => Total Number of Virus(es) Found: 2
Fri Oct 01 13:36:00 2004 => Total Number of Disinfected Files: 0
Fri Oct 01 13:36:00 2004 => Total Number of Files Renamed: 1
Fri Oct 01 13:36:00 2004 => Total Number of Deleted Files: 1
Fri Oct 01 13:36:00 2004 => Total Number of Errors: 2
Fri Oct 01 13:36:00 2004 => Time Elapsed: 00:15:00

Fri Oct 01 13:36:00 2004 => ***** Scanning complete. *****
Fri Oct 01 13:36:00 2004 => Virus Database Date: 2004/10/01
Fri Oct 01 13:36:00 2004 => Virus Database Count: 104798

Fri Oct 01 13:36:00 2004 => Scan Completed.[/I]


also der explorer und so is jetz wieder normal,aber wenn ich ins inet geh kommt immer die komische startseite und will ne datei downloaden (ca. 5kb gross). und der explorer will auch in inet (hab mit zonealarm ersmal gesperrt).

kann mir einer bitte weitere instruktionen geben?
danke u. danke im vorraus.

 

Themen zu Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt!
abgesicherten modus, acroiehelper.dll, administrator, adobe, antivirus, bho, content.ie5, dll, dsl, einstellungen, gesperrt, gruppe, highjackthis, hijack, hijackthis, infected, internet, internet explorer, logon.exe, nvcpl.dll, programme, registry, rundll, services.exe, software, svchost.exe, symantec, system, vielen dank, viren, windows, winlogon.exe, \system32\services.exe




Ähnliche Themen: Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt!


  1. OTL Fix Auswertung? - Virus! Benötige weitere anweisungen.
    Log-Analyse und Auswertung - 26.11.2013 (10)
  2. Irgendein virus bei sendspace runtergeladen genauer name unbekannt
    Log-Analyse und Auswertung - 07.12.2012 (3)
  3. Trojanerfund (genauer Name unbekannt)
    Plagegeister aller Art und deren Bekämpfung - 23.10.2012 (2)
  4. windows recovery auch nach anweisungen nicht zu entfernen
    Plagegeister aller Art und deren Bekämpfung - 30.08.2011 (18)
  5. Windows Recovery Malware. Halbwegs beseitigt.
    Log-Analyse und Auswertung - 15.04.2011 (20)
  6. Firefox/ IExplorer -> Google verlinkt auf andere Seiten - load.exe anweisungen befolgt
    Log-Analyse und Auswertung - 26.01.2011 (5)
  7. Internet Explorer: ...nicht genauer spezifiziertes, mögliches Sicherheitsrisiko...
    Alles rund um Windows - 21.01.2011 (1)
  8. Dailer ?
    Plagegeister aller Art und deren Bekämpfung - 16.12.2007 (13)
  9. Dailer Webrebates auf PC
    Log-Analyse und Auswertung - 08.12.2006 (3)
  10. Wo find ich die Anweisungen, um diese Sch... loszuwerden?
    Log-Analyse und Auswertung - 18.12.2005 (1)
  11. Hilfe Dailer !!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
    Plagegeister aller Art und deren Bekämpfung - 03.03.2005 (1)
  12. Dailer (selbstzerstörend) und Trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (1)
  13. Websiteviewer - Dailer
    Log-Analyse und Auswertung - 16.10.2004 (1)
  14. dailer in Movie?? .wmv
    Plagegeister aller Art und deren Bekämpfung - 06.10.2004 (6)
  15. hab seit 20 min nen dailer^^
    Plagegeister aller Art und deren Bekämpfung - 13.08.2003 (5)
  16. dailer wie erkenne ich die verbindung?
    Plagegeister aller Art und deren Bekämpfung - 24.04.2003 (14)
  17. suche bestimmten dailer
    Plagegeister aller Art und deren Bekämpfung - 05.02.2003 (4)

Zum Thema Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt! - Hi hab hir vor ner Woche folgenes Prob. dargelegt. Zitat: hi. hab mit NAV 04 dialer "explorer.exe" gefunden und jetz is explorer und INetExplorer verändert. NAV04 kann ihn bloss ned - Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt!...
Archiv
Du betrachtest: Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.