Hallo Allerseits.

Ich bräuchte einmal Eure Hilfe. Ich habe mir, glaube ich, beim letzten Besuch des Internets irgendetwas eingefangen. Mein Rechner läuft mit Windows XP, als Schutzprogramm läuft Norton Anti- Virus. Die Verbindung wird über ein 56k- Modem hergestellt. Als ich mich gestern erneut im Internet einloggen wollte, ist mir aufgefallen, dass bei Anklicken der DFÜ- Verbindung der Benutzername und die Telefonnummer (0152..........) geändert war. Ich habe versucht, die Daten wieder neu einzugeben, was auch gelungen ist. Nach einem Neustart waren aber wieder der geänderte Benutzername und die geänderte Rufnummer zu sehen! In der DFÜ- Verbindung waren auch die Sicherheitseinstellungen auf Benutzerdefiniert geändert. Auch das habe ich wieder zurückgesetzt, jedoch ohne Erfolg, die Daten waren nach einem erneuten Neustart wieder geändert!
So, ich hoffe, ich habe mein Problem ausreichend beschrieben. Über Tipps wäre ich sehr froh!
Gruß
Trolf

Hallo trolf112,

Dialer sollten zur Beweissicherung auf Diskette kopiert und sicher bewahrt werden. Bevor Du also irgendwelche Dateien löscht, frag uns besser. Wie man sich vor unerwünschten Dialern schützt, kannst Du Du diesem Link www.dialerschutz.de entnehmen.

Erstelle nun zunächst ein Hijack-This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste hier in Deinen Thread.

SD

Hallo Shadowdance!

Werde das Log-file heute Mittag erstellen. Danke für die schnelle Antwort! Kann ein Dialer eine Verbindung (während man im Internet ist) umleiten?

Gruß

Trolf

Hallo Shadowdance

Hier das Log- File:

Logfile of HijackThis v1.98.2
Scan saved at 15:01:00, on 11.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Browser PS2 mouse\mouse32a.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\alarm.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\sllights.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Ulrich\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programme\Browser PS2 mouse\mouse32a.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c9 -w
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: CorelCENTRAL-Benachrichtigungsfunktionen.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\alarm.exe
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0ED5C47-1358-498F-8DB9-4DC46F4C093E}: NameServer = 62.27.27.62 62.27.53.66
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

Vielleicht kannst Du mir helfen?
Gruß

Trolf

Dies dürfte einer deiner "Gäste" sein:

http://www.bsi.de/av/vb/mydoom-1.htm

Da er über eine Backdoorfunktion verfügt, ist die Manipulation deines Systems von Außen möglich und es ist nicht mehr vertrauenswürdig. Das Sicherste wäre daher:

http://www.trojaner-board.de/showpos...28&postcount=2



Ansonsten E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Fixe im abgesicherten Modus:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c9 -w
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll


lösche dann die Dateien (sichere die x.cab vorher auf Diskette).
Scanne dann mit E-scan und poste ein neues Log von HJT (aus dem normalen Modus) sowie die Informationen der von E-Scan gefundenen Schädlinge.


Prinzipieller Hinweis für die Zukunft: es gibt keine "Schutzprogramme", die Fehler des Nutzers ausgleichen und letztere sind zu 99% verantwortlich für eine Infektion. Deshalb sollte man sich nicht auf zusätzliche Programme verlassen, sondern stattdessen diese Dinge lernen und umsetzen:

http://www.mathematik.uni-marburg.de...ompromise.html