Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt!

bUUsenlilly · 01.10.2004, 13:23

Hi
hab hir vor ner Woche folgenes Prob. dargelegt. Zitat:

hi.
hab mit NAV 04 dialer "explorer.exe" gefunden und jetz is explorer und INetExplorer verändert. NAV04 kann ihn bloss ned löschen. kann mir einer sagen wie ich diesen löschen kann? oder welches tool ich nehmen muss um den löschen zu könn . vielen dank ikm vorraus für die hilfe.

Log-Datei von HiJackThis:
Logfile of HijackThis v1.98.2
Scan saved at 16:00:24, on 27.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Norton Systemworks 2004 Pro\Norton Ghost\GhostStartService.exe
C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONEAL~1.553\zlclient.exe
C:\WINNT\system32\RUNDLL32.EXE
H:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP 5.3\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP 5.3\DAPIEBar.dll
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X74-X75] REM "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1.553\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] REM "d:\cstrike\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP5~1.3\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP5~1.3\dapextie2.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP5~1.3\DAP.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

unter systemstart steht explorer.exe aber ich hab schiss dass der normale explorer dadurch gelöscht wird. highjackthis hat nichts gebracht (hab verdächtige gruppen gefixed), is alles so wie beim alten. gibbet kein tool was den aufspürt und löscht?
cu denn u. thx im vorraus.

Darauf hit der Tipp: - von *Christian*
AW: Dialer "explorer.exe" gefunden. was nun?

--------------------------------------------------------------------------------

Falls du nicht mit DSL ins Internet gehst, solltest du den Dialer zwecks Beweissicherung auf einer Diskette abspeichern.

Fixe mit HijackThis dies:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://thenewsearch.com/thenewsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} -
C:\WINNT\system32\ADV.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

Anschließend diese Datei im abgesicherten Modus löschen: C:\WINNT\system32\ADV.dll

Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083
__________________

Hab ich mit escan gescand und er hat 2 viren gefunden. eine davon war die ADV-datei die ich mit highjackthis fixen sollte. die wurde von escan gelöscht und dann noch son dailer. Hir die logdatei die mit 2 gelöschten dailern:

.
.
.
.
.
.
.
=> Options Selected by User:
Fri Oct 01 13:20:58 2004 => Memory Check: Enabled
Fri Oct 01 13:20:58 2004 => Registry Check: Enabled
Fri Oct 01 13:20:58 2004 => StartUp Folder Check: Enabled
Fri Oct 01 13:20:58 2004 => System Folder Check: Enabled
Fri Oct 01 13:20:58 2004 => System Area Check: Disabled
Fri Oct 01 13:20:58 2004 => Services Check: Enabled
Fri Oct 01 13:20:58 2004 => Drive Check: Disabled
Fri Oct 01 13:20:58 2004 => All Drive Check :Enabled
Fri Oct 01 13:20:58 2004 => Scanning Type: Scan And Clean
Fri Oct 01 13:20:58 2004 => Folder Check: Disabled

.
.
.
.
.
Fri Oct 01 13:21:00 2004 => Scanning File C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\ActiveX\ACROIE~1.DLL
Fri Oct 01 13:21:00 2004 => {9EAC0102-5E61-2312-BC2D-414456544F4E} = C:\WINNT\system32\ADV.dll
Fri Oct 01 13:21:00 2004 => Scanning File C:\WINNT\system32\ADV.dll
Fri Oct 01 13:21:00 2004 => File C:\WINNT\system32\ADV.dll infected by "not-a-virus:AdvWare.ToolBar.Tubby.b" Virus. Action Taken: File Renamed.
.
.
Fri Oct 01 13:24:05 2004 => Scanning File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IATUV567\explorer53[1].cab
Fri Oct 01 13:24:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IATUV567\explorer53[1].cab infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: File Deleted.
.
.
Fri Oct 01 13:36:00 2004 => Total Number of Files Scanned: 11899
Fri Oct 01 13:36:00 2004 => Total Number of Virus(es) Found: 2
Fri Oct 01 13:36:00 2004 => Total Number of Disinfected Files: 0
Fri Oct 01 13:36:00 2004 => Total Number of Files Renamed: 1
Fri Oct 01 13:36:00 2004 => Total Number of Deleted Files: 1
Fri Oct 01 13:36:00 2004 => Total Number of Errors: 2
Fri Oct 01 13:36:00 2004 => Time Elapsed: 00:15:00

Fri Oct 01 13:36:00 2004 => ***** Scanning complete. *****
Fri Oct 01 13:36:00 2004 => Virus Database Date: 2004/10/01
Fri Oct 01 13:36:00 2004 => Virus Database Count: 104798

Fri Oct 01 13:36:00 2004 => Scan Completed.[/I]

also der explorer und so is jetz wieder normal,aber wenn ich ins inet geh kommt immer die komische startseite und will ne datei downloaden (ca. 5kb gross). und der explorer will auch in inet (hab mit zonealarm ersmal gesperrt).

kann mir einer bitte weitere instruktionen geben?
danke u. danke im vorraus.

MountainKing · 01.10.2004, 13:26

Erstelle ein aktuelles Logfile.

Cidre · 01.10.2004, 13:28

Dein IE ist veraltert. Lade IE 6 SP1, installiere und update ihn. http://www.microsoft.com/downloads/d...DisplayLang=de

Poste doch mal ein neues Log-File.

bUUsenlilly · 01.10.2004, 16:07

Logfile of HijackThis v1.98.2
Scan saved at 17:07:44, on 01.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Norton Systemworks 2004 Pro\Norton Ghost\GhostStartService.exe
C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONEAL~1.553\zlclient.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Kazaa Lite K++ 2.41\Kazaa.kpp
C:\Programme\Internet Explorer\IEXPLORE.EXE
H:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP 5.3\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP 5.3\DAPIEBar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X74-X75] REM "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1.553\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] REM "d:\cstrike\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP5~1.3\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP5~1.3\dapextie2.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP5~1.3\DAP.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7900AC05-EC64-4F48-BFA2-DFD33F878F24}: NameServer = 145.253.2.203 195.50.140.250

Cidre · 01.10.2004, 16:21

Zitat:

Dein IE ist veraltert. Lade IE 6 SP1, installiere und update ihn. http://www.microsoft.com/downloads/...&DisplayLang=de

Gibts einen zwingenden Grund warum du dies nicht ausgeführt hast?

Ansonsten trifft das gleiche zu was *Christian* schon gepostet hat!

bUUsenlilly · 01.10.2004, 19:15

weil ich seit über einen jahr problemlos mit dem 5.5 sp2 klargekommen bin. jetz konnt ich die startseite ändern und die datei soll nicht mehr gedownloaded werden. aber jetz frag ich mich warum zonealarm manchmal nachfragt ob explorer.exe in internet will.....

Cidre · 01.10.2004, 19:20

Zitat:

weil ich seit über einen jahr problemlos mit dem 5.5 sp2 klargekommen bin

Das ist natürlich ein Argument.

Solange du das Übel nicht an der Wurzel packst, wirst du weiterhin damit leben müssen.

Viel Spaß dabei.

EOD

chaosman · 01.10.2004, 19:20

@bUUsenlilly

solange du dass nicht machst was Cidre dir empholen hat, können wir dich nicht helfen
chaosman

MountainKing · 01.10.2004, 22:15

Ob du mit einem Programm klarkommst und (unbegründet) Angst davor hast, dass das bei einer neueren Version nicht mehr so wäre, ist sicherheitstechnisch völlig belanglos. Es werden immer wieder Sicherheitslücken bekannt und dafür werden Patches bereitgestellt, damit Virenschreiber diese Lücken nicht mehr ausnutzen können. Solange es aber noch genügend Leute gibt, die diese Updates dann nicht aufspielen, so wie du, ist wenigstens die Arbeit der Virenautoren nicht ganz umsonst und du gibst ihrem kläglichen Dasein wenigstens einen Sinn...auf Kosten deines Rechners und derer, die von ihm aus dann attackiert werden.

bUUsenlilly · 12.10.2004, 15:21

ok hab jetz widda 2 dialer gefunden udn deleted.
glaube auch dass das am veralteten IE liegt.
also sorry für die zickigkeit. habe IE 5.5 SP2 und welchen würdet ihr mir emfehlen?

PS: Link von citre funzt ned....

MountainKing · 12.10.2004, 16:03

Wenn du auf windowsupdates gehst, solltest du bei den Downloads auch die neuesten IE-Versionen auswählen können. Den IE auf die allerneueste erhältliche Version bringen und ihn dann nur noch für diese Updates verwenden, ansonsten Alternativbrowser firefox/mozilla/opera probieren und den behalten, der dir am besten gefällt. Gibt auch von Cobra einen aktuellen Thread dazu im anderen Forum.

01.10.2004, 13:28	#3
Cidre Administrator, a.D.	Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt! Dein IE ist veraltert. Lade IE 6 SP1, installiere und update ihn. http://www.microsoft.com/downloads/d...DisplayLang=de Poste doch mal ein neues Log-File. __________________ __________________

Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt!

Plagegeister aller Art und deren Bekämpfung: Dailer totz genauer Profi-Anweisungen nur halbwegs entfernt!