Ich habe mir einen dailer eingetreten - wie ich glaube über einen Movie (.wmv).

Hat noch jemand Erfahrung mit einem Movie in Deutschland oder Österreich in dieser Richtung gemacht??

smpP01_full.wmv - Ich glaube das war der Schuldige. Mein Rechner ist bei diesem Movie abgestürzt, und nach einem Neustart hat sich offenbar ein dailer installiert, der ungestört werken konnte, da ich nicht mehr an meinem PC war. Als ich nach ca. 2 Stunden bei meinem PC war, war eine komische Systemmeldung darauf, und ich habe den PC wieder runtergfahren. Nach 1 Monat kam nun die Rechnung über 500,--!

Die Telekom hat mir zwar kommentarlos" eine Gutschrift geschickt, aber vor einigen Tagen kam nun die Rechnung der Firma ATMS in Wien, welche von der Telekom diese Forderung zur freien Verfügung übergeben bekam, und diese nun bei mir einfordert!

Alles was ich dazu fand war das dieses file MSMSGS.EXE-32066BA5.pf genau an diesem Tag geändert wurde, bzw. einige cockies von Seiten genau zu diesem Zeitpunkt, welche ich mit Sicherheit nicht besucht habe.

Wer kann mir helfen, oder hat ähnliche Erfahrungen gemacht??? Oder wer kann mir sagen, wie ich gefahrlos feststellen kann, ob dieser Movie verseucht ist.

Danke
Sibille

Hallo,

hier wird dir die weitere Vorgehensweise beschrieben: http://www.dialerschutz.de/home/Gesc...schadigte.html

Wo hast du das Movie her?
Hat dein AV Scanner diesbezüglich was gefunden?

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Zitat:

Zitat von Sibille

wie ich gefahrlos feststellen kann, ob dieser Movie verseucht ist.

Auf einen sauberen PC ohne Internetanschluß kopieren, abspielen und schauen was passiert ;-)
AFAIK kann in einem WMV kein Dialer versteckt sein, sehr viel wahrscheinlicher ist, dass von der Quelle dieses Filmchens ein Dialer (nicht Dailer) sich gleich mitinstalliert hat.

Hallo Cidre,

da das Ganze im Mai stattgefunden hat, weiß ich leider nicht mehr genau woher ich den Movie habe.

Hier nun mein HijackThis log:

Logfile of HijackThis v1.98.2
Scan saved at 22:09:10, on 04.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\PROMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\IKAutoUp.exe
C:\WINDOWS\System32\vpc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Babylon\Babylon.exe
C:\Programme\Common\Bin\WinCinemaMgr.exe
C:\ikarus\GUARDNT\GUARDNT.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\VNC\WinVNC.exe
C:\Programme\UltraEdit\UEDIT32.EXE
C:\Programme\FTPVoyager\FTPVoyager.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\System32\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [Guard NT] C:\ikarus\GUARDNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//paxan/main.chm::/load.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096572048140
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lan29
O17 - HKLM\Software\..\Telephony: DomainName = lan29
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA2F0EF8-832A-4FE8-90B0-679FDFA718DF}: NameServer = 10.18.11.1,213.164.0.1


Bei 016 wirds ja glaube ich spannend...
Danke für deine Hilfe!!
Lieben Gruß
Sibille

Mittlerweile habe ich in

Windows/Downloaded Program Files folgendes gefunden:

Die Programmdatei {10000000-1000-0000-1000-000000000000}
Status unbekannt
Gesamtgröße/Erstellungsdatum/Letzter Zugriff - keine
Version 0,0,0,1

Somit habe ich wieder das Problem das ich nicht beweisen kann, wann diese Datei installiert wurde. Oder gibt es dafür eine Möglichkeit?

Das sicherheitstechnisch größere Problem liegt hier:


O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe


Dabei handelt es sich um eine Variante des Rbot-Trojaners:

http://www3.ca.com/securityadvisor/v....aspx?id=39437

Das bedeutet leider, dass sich dein PC in fremder Hand befindet oder befinden kann und das ein Angreifer sehr viele Möglichkeiten zur Nutzung deines Systems hat.

http://oschad.de/wiki/index.php/Kompromittierung

Der Dialer könnte eine Folge davon sein, muss aber nicht, da du ihn dir natürlich auch separat geholt haben kannst. Sicher ist nur, dass du deinem System nicht mehr vertrauen kannst und eigentlich am besten neu installieren solltest, denn dann kannst du sicher sein, dass der Rechner zunächst sauber ist und du davon ausgehend dann die wichtigen Dinge zur Absicherung umsetzt:


1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) keine alten Passworte wiederverwenden, sondern alle neu anlegen

Diese Datei:

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//paxan/main.chm::/load.exe

solltest du auf jeden Fall sichern, eventuell auch diese vpc32.exe, da sie ja eigentlich beweist, dass die Fernsteuerung deines Rechners möglich war. Ich fürchte allerdings, dass sich genaue Infizierungsdaten nicht mehr wirklich feststellen lassen werden.

Hallo,

vielen Dank für deine Hilfe.

Da ich eine "alte" Spürnase bin habe ich ihn jetzt auch definitiv gefunden. Und es ist herrlich, er ist tatsächlich am 23.5., genau um 12.27 (als wo der dailer start losging) installiert worden.

Er heisst d2kpax.exe und war direkt in meinem system 32

Die Arbeit mit dem neu aufsetzen und so weiter ist zwar weniger lustig, aber ich werde mich genau an deine Anweisungen halten, damit es mich diesmal nicht mehr erwischt ;-))

Lieben Gruß
Sibille