Hallo zusammen,

ich kämpfe nun seit einpaar Tagen mit einem, oder 2 oder 3 Trojanern, die ich mir eingefangen habe. Es handelt sich um folgende Vetreter:

inst.exe
124787.exe
TR/Drop.Dialer.1

Jedenfalls werden mir diese in unregelmäßigen Abständen von AntiVir angezeigt. Sie reagieren aber nicht auf meine Eingabe, sie zu löschen. Inzwischen habe ich a² und SpyBot in etlichen Runden laufen lassen. Es wurde einiges an Malware entfernt, aber in Bezug auf die o.g. Trojaner hatte ich bislang keinen Erfolg. Allerdings hat Spybot mir das Surfen auf ebay-Seiten verhagelt. Ständig kommen dort Mitteilungen, dass Spybot den Download von DoubleClick verhindert. Aber das ist das kleinere Problem.
Kann mir jemand sagen, wie ich diese ver... Dialer aus meinem System entfernen kann? Ich nutze übrigens WIN 98 SE und IE 6.0 SP1. Können Dialer überhaupt Unfug anrichten, wenn man per DSL ins Netzt geht?

Vielen Dank schon mal vorab.

Nette Grüße
Achim

Hallo.

Lade dir mal Hijack This runter und poste das log hier.

Ansonsten guck mal hier, da hatte schon mal jemand genau das Problem wie du: http://www.trojaner-board.de/archive...hp/t-8617.html

Zu DSL und Dialer:

Zitat von http://www.dslweb.de/dialer-und-dsl.htm :

Zitat:

Eine Dialer-Gefahr besteht für DSL-Nutzer allerdings dann, wenn auf dem Computer neben dem DSL-Netzwerk eine weitere analoge bzw. ISDN-Verbindung installiert ist. Eine Verbindung mit dem Telefonanschluss auch bei DSL ist durchaus sinnvoll, da über DSL (auch wieder weil DSL keine Wählverbindung ist) kein Fax verschickt werden kann. So besteht etwa die Fritz Card DSL aus einem DSL-Modem und einer ISDN-Karte.

Bei einer installierten ISDN-Karte oder einem analogen Modem setzt man sich nur dann der Dialer-Gefahr aus, wenn tatsächlich eine Verbindung vom Computer zum Telefonsignal (also in der Grafik vom Computer zum Telefoniebereich hinter dem Splitter) besteht. Um ganz sicher zu gehen, sollte man das Kabel zwischen dem analogen Modem bzw. der ISDN-Karte und der Telefonanlage nur dann einstecken, wenn man die analoge bzw. ISDN-Verbindung am Computer auch benötigt. Zudem kommt es immer mal wieder vor, dass man nach dem Umstieg auf DSL einfach vergessen hat, die anderen Verbindungen zu deaktivieren.

Wer weiterhin Faxe versenden will, kann allerdings auch einfach einen Fax-Dienst über das Internet in Anspruch nehmen, so dass man für das Versenden und Empfangen von Faxen keine analoge oder ISDN-Verbindung benötigt.

Zusammenfassend gesagt: Über die reine DSL-Verbindung ist die Einwahl eines 0190-Dialers definitiv nicht möglich. Bei zusätzlich installierten Verbindungen über ISDN-Karte oder Analog-Modem ist weiterhin Vorsicht angesagt.

Hallo,

das ging ja fix. Danke schonmal bis hierher. Das Hijacken hat auch prima geklappt. Hier das Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 11:56:19, on 21.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\RS ZIP 3.1\RSZIP32.EXE
C:\DOWNLOAD\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
O4 - HKLM\..\Run: [WebRebates0] "C:\PROGRAMME\WEB_REBATES\WebRebates0.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O8 - Extra context menu item: Web Rebates - file://C:\PROGRAMME\WEB_REBATES\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Corel Network monitor worker - {ED2A6BA0-2090-11D9-99E3-0010DC65936D} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {ED2A6BA0-2090-11D9-99E3-0010DC65936D} - (no file)
O9 - Extra button: Corel Network monitor worker - {ED2A6BA0-2090-11D9-99E3-0010DC65936D} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {ED2A6BA0-2090-11D9-99E3-0010DC65936D} - (no file) (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/21ba12b3a764283...dxIE601_de.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...9afb63ed1a70c5

Ich hoffe, die Ursache lässt sich hier finden.

Nette Grüße
Achim

Hallo aro,

Überprüfe mit dem online-scan von Kaspersky:

C:\PROGRAMME\RS ZIP 3.1\RSZIP32.EXE

Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. (Forschungszweck)

Da wir alle das Problem des Browser-Hijackings loswerden wollen, bitte ich Dich um Deine Mitarbeit bei der Spybot-Forschung. Dein Vorteil liegt darin, dass Du Spybot 1.3.1TX sowieso brauchst, um Deinen Computer damit zu reinigen. Alles, was wir hier tun kostet Zeit. Ich bitte Dich um Deine Zeit. Arbeite das Tutorial Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Report und sende ihn an detections@spybot.info, mit dem Betreff "Search-TBOARD".

Boote in den abgesicherten Modus, fixe dann mit Hijack This (Häk'chen setzen und auf fix checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
O4 - HKLM\..\Run: [WebRebates0] "C:\PROGRAMME\WEB_REBATES\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\PROGRAMME\WEB_REBATES\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Corel Network monitor worker - {ED2A6BA0-2090-11D9-99E3-0010DC65936D} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {ED2A6BA0-2090-11D9-99E3-0010DC65936D} - (no file)
O9 - Extra button: Corel Network monitor worker - {ED2A6BA0-2090-11D9-99E3-0010DC65936D} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {ED2A6BA0-2090-11D9-99E3-0010DC65936D} - (no file) (HKCU)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f... afb63ed1a70c5

wenn Du diese Seite nicht kennst/brauchst, bitte fixen:

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/21ba12b3a76428...RdxIE601_de.cab

Beende:

SYNCROAD.EXE
WebRebates0.exe

Lösche:

C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
C:\PROGRAMME\WEB_REBATES\WebRebates0.exe

Boote in den normalen Modus.

Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle ein neues Hijack This Logfile und poste es.

SD

Hallo,

die Überprüfung der Datei RSZIP32.EXE mit der Kaspersky Online-Scan ergab keinen Befund. Die Datei habe ich an die angegebene Adresse geschcikt. Ich werde nun die Liste weiter abarbeiten, in der Hoffnung, dass ich alles recht verstanden habe.

Nette Grüße
Achim

Hallo,

erstaunlich, ich habe massenweise Trojaner gefunden, die bislang kein Programm entdeckt hatte. Hier zunächst die escan-Meldungen:

File C:\WINDOWS\SYSTEM\Oedihp32.exe infected by "Backdoor.Win32.Padodor.ag" Virus. Action Taken: File Renamed.
File C:\WINDOWS\SYSTEM\Pljfhfjh.dll infected by "Backdoor.Win32.Padodor.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\KXABKL2R\tbd1[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\KXABKL2R\tbd1[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed.
File C:\RECYCLED\DC493.DAT infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: File Deleted.
File C:\RECYCLED\DC494.DAT infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: File Deleted
File C:\RECYCLED\DC500.DAT infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: File Deleted.
File C:\RECYCLED\DC502.DAT infected by "TrojanDropper.Win32.Small.ja" Virus. Action Taken: File Deleted.
File C:\RECYCLED\DC513.DAT infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: File Deleted.
File C:\RECYCLED\DC517.DAT infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: File Deleted.
File C:\RECYCLED\DC538.DAT infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: File Deleted
File C:\RECYCLED\DC546.DAT infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: File Deleted
File C:\RECYCLED\DC547.DAT infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: File Deleted.
File C:\RECYCLED\DC548.DAT infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: File Deleted
File C:\RECYCLED\DC549.DAT infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: File Deleted
File C:\RECYCLED\DC550.DAT infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: File Deleted
File C:\Programme\Windows Media Player\wmplayer.exe infected by "TrojanDownloader.Win32.Agent.ay" Virus. Action Taken: File Deleted.
File C:\INST.EXE.VIR infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: File Deleted

Und nun das Ergebnis des erneuten HijackThis:

Logfile of HijackThis v1.98.2
Scan saved at 02:40:30, on 22.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\DOWNLOAD\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

Ich verstehe zwar nicht viel davon, was ich gemacht habe, aber die Anleitung war gut. Es hat alles geklappt. Könntest Du mir nun noch sagen, ob denn nun mein System wieder rein ist? Oder schlummern da weitere Übeltäter?

Vielen Dank und nette Grüße
Achim

Hallo aro

Information zu "Backdoor.Win32.Padodor.ag" "Backdoor.Win32.Padodor.gen":
Troj/Padodor-.

Da die Viren bereits gelöscht sind, brauchst Du es von Hand nicht mehr zu machen. Dennoch würde ich mir, an Deiner Stelle überlegen, ob Du Dein System nicht formatieren und Neuaufsetzen möchtest. Wenn Du Dir die 'Erläuterung' zu diesen beiden Backdoor-Trojanern durchliest, wirst Du erfahren, dass Dein System kompromittiert ist.

Lass uns Deine Entscheidung wissen, damit wir Dich weiter beraten können.

SD

Hallo,

also zunächst mal scheint es so, dass ich jetzt zumindest Ruhe vor dem Drop Dialer habe. Die Infos zu Padodor sind allerdings nicht gerade begeisternd. Ich habe allerdings im Moment nicht die Zeit, das System komplett neu aufzusetzen. Allerdings wollte ich im Winter ohnehin auf WIN XP Prof. umsteigen. Vom Rechner her wäre das schon vor 1 1/2 Jahren, als ich ihn kaufte, kein Problem gewesen, aber damals hatte ich noch einen alten Drucker, für den es bis heute keinen XP-Treiber gibt, daher 98 SE.
Wenn ich dann im Winter neu installieren werde, kann ich dann ruhigen Gewissens zumindest meine Dokumente (WORD, EXCEL, Corel, Designer, Works, PowerPoint, etc.) und mp3s brennen und in das neue System übernehmen? Oder muss ich auch da mit Viren rechnen?

Zunächst einmal vielen Dank für die hilfreichen Tipps.
Nette Grüße
Achim

Hallo aro,

schau mal hier: Datensicherung und, wenn Du formatierst, gibt es einiges, was zu beachten ist. Das haben MountainKing, Cidre und Raman des Öfteren veröffentlicht. Ich gebe Dir zwei weitere Links und bitte Dich, die Tips nachzulesen: Rat und Hilfe und bitte beachten.

Viel Erfolg weiterhin.
SD

Hi Leute,

habe seit ca. einer Woche den folgenden Trojaner auf meinem PC:

TR/Drop.Dialer.C.2

und noch zwei/drei andere Viren zusätzlich, z.B.:

Worm/Sober.I.B64.A

Worm/Sober.I-B64.B

Hab schon AntiVir, Symantec Norton Anti Virus und Bitdefender einige Male durchlaufen und meine Dateien scannen lassen. Haben meist was gefunden, konnten aber scheinbar nicht löschen, denn die Dialer kommen bei jedem Internetbesuch erneut. Bin ganz schön verzweifelt...

Vielleicht kann mir jemand helfen? Hier ist das Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 13:31:35, on 19.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Sindy\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [logdata] C:\WINDOWS\System32\sysdisc.exe
O4 - HKLM\..\Run: [runservicex] C:\WINDOWS\System32\log32sysdata.exe %srun%
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Norton Internet Security\cfgwiz.exe /GUID {257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Jevvst] C:\WINDOWS\System32\m?iexec.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 69.50.161.82
O15 - Trusted IP range: (HKLM)
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{550843DB-B215-4DF3-80CE-1AE0E667542E}: NameServer = 139.18.25.3
O18 - Filter: text/html - {C88CF193-C1C3-4E5C-B609-47B8A8EF30FF} - C:\Dokumente und Einstellungen\Sindy\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O21 - SSODL: Web Event Logger - {7EFBAEFF-EE02-1333-ABDF-416572E5D639} - C:\WINDOWS\System32\Fpmlgekh.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe (file missing)
O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


VIELEN DANK und liebe Grüße von Sindy!

Da ist noch mehr Mist drauf.

Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Wo wird was gefunden?

Hallo zusammen,

ich hatte im Oktober den Thread eröffnet, zwischenzeitlich war es ruhig geworden in meinem System, in den letzten Tagen aber machen sich wieder einige Plagegeister breit. Daher möchte ich dem Rat von Shadowdance folgen und das System nach Weihnachten neu aufsetzen. Dazu habe ich vorab schon einmal ein paar Fragen:

Kann ich Daten aus meinen Anwendungen übernehmen, ohne erneut Probleme zu bekommen und wie überprüfe ich die entsprechenden Backups?

Kann ich mein Adressbuch übernehmen?

Kann ich meine Favoriten übernehmen?

Kann ich alte emails übernehmen?

Reicht ein neues Partitionieren und Formatieren der Festplatte?

Kann man XP Professional empfehlen oder gibt es Alternativen (nur WIN, kein Linux)?

Vielen Dank und nette Grüße
Achim

Hallo aro

zum übernehmen von Daten hatte Lutz letzhin geantwortet .. Datensicherung.

Die Festplatte formatieren reicht durchaus aus .. wenn Du Dich an die gegebenen Tips hältst. Lies mal die Tipps aus den anderen Postings, u.a. in diesem Thread.

Ob man Windows überhaupt empfehlen sollte, weiss ich nicht .... zurechtkommen kann man mit jedem Betriebssystem, wenn man sich einigermassen vorsichtig im Netz bewegt und den Sicherheitsvorkehrungen Rechnung trägt. Ich mache gerade meine ersten Erfahrungen mit Windows XP und dem SP2, womit soviele Schwierigkeiten haben ... ich habe bisher keine Schwierigkeiten. Es funzt ...

Lieben Gruss
SD

Hallo nochmal,

was mir noch ein wenig Sorge bereitet ist, dass alle Virenscanner und Spywaresucher, die ich bisher eingesetzt habe, die Fehler nicht beheben konnten. Wenn ich nun meine gesicherten Daten mit eben diesen Tools checke, könnten sich doch trotzdem wieder diese Popups vesteckt haben, die sich derzeit bei mir hin und wieder melden, auch wenn ich den IE nicht geöffnet habe.
Kann man denn ausschließen, dass sie sich an bestimmte Dateien wie z.B. Word-, Excel-, Bild- oder Maildateien anhängen?

Nette Grüße
Achim

Hallo Christian,

bin leider aufgrund des Trojaners gesperrt worden. Kann nicht mehr ins Netz...

Kaufe mir nächste Woche neuen Rechner. Hatte ich eh vor. Was mache ich mit meinen Daten auf dem alten Rechner? Kann ich die dennoch rüberspielen? Brauch sie ja dringend...

Grüßle von Sindy!!!