Hi, Leute,

hab folgendes Problem: hab mir anscheinend einen Dialer eingefangen mit o.g. Nummer. Auf jeden Fall hat er meine DSL-Einwahl „0“ damit überschrieben und macht dies auch bei jedem Neustart wieder. Des weiteren verändert er meine Sicherheitsoptionen der DFÜ-Verbindung von typisch auf benutzerdefiniert - ohne Verschlüsselung. Wenn ich versuche mich über die 0 einzuwählen fliege ich sofort wieder raus oder krieg gar keine Verbindung. Habe mittlerweile herausgefunden, dass es sich wahrscheinlich um eine italienische Dialer-Einwahl handelt (wenn ich wenigstens italienisch könnte....). Wg. DSL ohne Modem, ISDN-Card, etc. ist das ja erst mal nicht so dramatisch, aber der kleine Drecksack hat mir anscheinend mindestens noch einen download.trojan und evtl. noch ein paar andere Tierchen mitgebracht. Hab einiges unternommen um alles verdächtige los zu werden.

Spybot, AntiVir, Ad-Aware, Trojan remover finden nix mehr – aber der symantec online scanner findet immer noch einen download.trojan und zwar in C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y7EX2TYZ\game4[1].exe. Das dumme ist nur das der Ordner Content.IE5, der subfolder und die Datei nicht existiert (oder zumindest nicht sichtbar sind (versteckte, Systemdateien etc. sind on)).

Dazu ist die verfluchte Nummer immer noch da. Da ich logischerweise vermeiden will, dass das Stinktier im Hintergrund Sauereien macht von denen ich nix weiß, bitte dringend um Hilfe, mir fällt nix mehr ein wie ich den Kram wieder loswerde.

Win2k
cfos DSL
1&1 DSL
Verbindung über DFÜ-Netzwerk

Anbei die log von hijackthis.

Danke Euch im Voraus für alle Hilfe

Hi,
erstens lade dir mal clearprog 1.4.0 final runter, sezte alle Häkchen bei IE und Windows und drücke "löschen". Dann sind die temp.Internet-files und der cont.IE5 leer.
Dann poste ein HJT-Log per copy und paste hier rein. (Nicht als angehängte Datei).

Hi, Cacatoa,

erstmal vielen Dank für Deine prompte Antwort und die Unterstützung. Habe gestern noch einiges ohne Erfolg versucht - Antwort daher erst jetzt.

Habe Deine Tips befolgt - thx - auch der symantec hat jetzt nichts mehr gefunden. Ist schon mal ein Riesenschritt.

Leider ist die Sache aber noch nicht ganz astrein.

1. Die Nummer ist immer noch da - Einwahlversuche über die 0 bewirken einen einmaligen Seitenaufbau und anschließenden sofortigen Rauswurf. Werde das Gefühl nicht los, daß sich da im Hintergrund was tut.

2. Nach Löschen aller Dateien, Setzen aller Einstellungen der DFÜ auf die ursprünglichen Werte und sofortigem Neustart meldet mir YAW eine neue Anwendung, die sich evtl. einwählen könnte, und zwar C:\WinNt\system 32\wbem\winmgmt.exe. winmgmt wohlgemerkt mit kleinem m in der Mitte. Habe ein bißchen gestöbert - glaube erfahren zu haben, das sich damit evtl. unerwünschte ports öffnen lassen.

Wenn Du oder sonst wer noch was weißt - bin weiterhin für alles dankbar

Hier nochmals die hjt nach Bereinigung mit ClearProg:

Logfile of HijackThis v1.98.2
Scan saved at 11:50:35, on 17.11.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
i:\Programme\AVPersonal\AVGUARD.EXE
i:\Programme\AVPersonal\AVWUPSRV.EXE
i:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
I:\Programme\NEOLEC\Neolec Crystal Mouse\MOUSE32A.EXE
I:\Programme\NEOLEC\Neolec Wireless Desktop\KbdAp32A.exe
I:\progra~1\scansoft\paperp~1\pptd40nt.exe
C:\WINNT\system32\kxmixer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
I:\Programme\QuickTime\qttask.exe
C:\WINNT\wavdriver.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
I:\Programme\AVPersonal\AVGNT.EXE
I:\Programme\a2\a2guard.exe
I:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
I:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
I:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\system32\MAPISP32.EXE
E:\Downloads\tools\Anti-Spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - I:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll__SpybotSDDisabled (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - I:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LWBMOUSE] I:\Programme\NEOLEC\Neolec Crystal Mouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] I:\Programme\NEOLEC\Neolec Wireless Desktop\KbdAp32A.exe
O4 - HKLM\..\Run: [PaperPort PTD] i:\progra~1\scansoft\paperp~1\pptd40nt.exe
O4 - HKLM\..\Run: [kX Mixer] kxmixer --startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [wavdriver] "C:\WINNT\wavdriver.exe"
O4 - HKLM\..\Run: [TrojanScanner] i:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [AVGCtrl] I:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [YAW starten] "i:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [a-squared] "i:\Programme\a2\a2guard.exe"
O4 - Global Startup: Acrobat Assistant.lnk = I:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Office-Start.lnk = I:\Programme\Microsoft Office\Office\OSA.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www2.alfaromeo.de/obs/include...e/MSSurVid.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C79CC6E2-A3CB-4500-85FB-650B5DBD14F4} (bilderservice.de Standard-Upload) - http://upload.bilderservice.de/scripts/ieupload.cab

Ich nochmal.

Habe die Sache jetzt einigermaßen im Griff, denke ich. Kein bekannter scanner findet mehr irgendwo ein Pferdchen.

Die 0 meiner DFÜ ist zwar immer noch blockiert und wird bei jedem Systemstart von besagter Nummer überschrieben, kann mich aber über jede andere Nummer einwählen, die dann auch dauerhaft bestehen bleibt.

Würde mich ja schon interessieren wo sich das Mistding eingenistet hat, aber ich denke ich bin so einigermaßen sicher ......(?)

Thanks for the help

greetz


Surf safe

@ Ichbringihnum,

versuch's mal mit dem eScan - laut Anweisung, bitte gut durchlesen. Dann das Ergebnis hier posten: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

SD

Hi, Shadowdance,

wie gesagt, auch eScan findet nix mehr. Denke ich bin trojan-free.

Bleibt noch die blöde Nummer - aber die kann ich ja mittlerweile umgehen.
Hoffe und glaube mal, daß damit kein risiko mehr verbunden ist.
Wenn ich auch zu gern wüßte wo die Ratte sitzt.

Thx anayway.


Was wäre Microsoft ohne Foren?

Hallo Ichbringihnum

Hast du mal versucht die DFÜ verbindug zu löschen und ne neue eizurichten?

Hast du Adsl oder DSL über ISDN wenn du es über isdn hast dann kann sich der dialer trotzdem einwählen!

@zero: Klar hab ich. Mehrfach sogar, inkl. Treiberentfernung und Neuinst.
Erfolg = zero.

Ist ne ADSL-Leitung. Was verstehst Du denn unter DSL über ISDN?

Alle Einlog-Versuche sind bei meinem Provider protokolliert, da ist wohl nix passiert.

Gekillt !!!!!!!

Wollte Euch nochmal informieren:

Bin jetzt auch noch die -Nummer wieder los !

Und hier sitzt das kleine Stinktier:

O4 - HKLM\..\Run: [wavdriver] "C:\WINNT\wavdriver.exe"

Alle registry-Einträge und die Datei löschen - wech.

Falls Euch das Ding also nochmal begegnet - ihr wißt Bescheid.

Nochmals Dank an alle für die Unterstützung. :aplaus:

Zitat:

Zitat von Ichbringihnum

Gekillt !!!!!!!

O4 - HKLM\..\Run: [wavdriver] "C:\WINNT\wavdriver.exe"

Alle registry-Einträge und die Datei löschen - wech.

danke für die Auskunft!

Weisst Du welcher Virus es ist? Und wie hast Du ihn gefunden?

SD

@shadowdance: Ich kanns nicht genau sagen. Die wavdriver ist in jedem Fall der dialer. Und der bringt ziemlich sicher einen download.trojan mit, der dann seiner hinterhältigen Aufgabe nachkommt.
Das ganze erschien mir suspekt, da beim googlen 0 ergebnisse für die wavdriver.exe rauskamen. Hab dann noch nen Tip bekommen. Wie gesagt: Kein frei verfügbarer scanner erkennt in dem Ding eine malware. Lediglich der Datei-online scan von http://virusscan.jotti.org/de findet das Ding "verdächtig".


Keep going.