Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Schön versauter PC mit Dialer und anderem (https://www.trojaner-board.de/45891-schoen-versauter-pc-dialer-anderem.html)

BlackPriest 15.11.2007 22:50
Schön versauter PC mit Dialer und anderem
 
Hallo Leute.

Habe hier nen PC von einem Bekannten.
So wie`s aussieht werde ich um eine Neuinstallation nicht rumkommen.
Er hat ne 500€ Tel.Rechnung daheim liegen.

Sieht nicht sehr gut aus.

LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:04, on 15.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
c:\programme\panda software\panda platinum 2005 internet security\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\wscntfy.exe
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\AntiSpam\pskmssvc.exe
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\psimsvc.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\apvxdwin.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\mrofinu1204.exe
C:\aulfadoo.exe
C:\Tools\Unlocker\UnlockerAssistant.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\system32\wincheckp4.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Insider\Insider.exe
C:\Programme\WinAble\winable.exe
C:\DOKUME~1\XXXX\ANWEND~1\ICROSO~1.NET\attrib.exe
C:\WINDOWS\F?nts\r?gsvr32.exe
C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\WinTouch\WinTouch.exe
C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Windows\rayiou.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE
c:\programme\panda software\panda platinum 2005 internet security\WebProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Tools\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {D78F9737-6ABD-0842-F11E-09CB41B472A5} - C:\WINDOWS\system32\mefj.dll
O2 - BHO: (no name) - {E2A2A737-478E-3D76-DC2E-39E671845F95} - C:\WINDOWS\system32\mefj.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1204.exe 61A847B5BBF72813309B3C466188719AB689201522886B092CBD44BD8689220221DD325762EA4EBF968951185EFC412806867680AEDE604D64C2661373FB11E7DCD66A47
O4 - HKLM\..\Run: [aulfadoo.exe] C:\aulfadoo.exe
O4 - HKLM\..\Run: [Winupdates] wincheckp4.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Tools\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Insider] C:\Programme\Insider\Insider.exe
O4 - HKCU\..\Run: [WinAble] C:\Programme\WinAble\winable.exe
O4 - HKCU\..\Run: [Wcrn] "C:\DOKUME~1\XXXX\ANWEND~1\ICROSO~1.NET\attrib.exe" -vt yazb
O4 - HKCU\..\Run: [Usvlgrfa] C:\WINDOWS\F?nts\r?gsvr32.exe
O4 - HKCU\..\Run: [WinTouch] C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\WinTouch\WinTouch.exe
O4 - HKCU\..\Run: [SfKg6w] C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Windows\rayiou.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130312776125
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130483873390
O20 - Winlogon Notify: crehcjid - C:\WINDOWS\SYSTEM32\crehcjid.dll
O20 - Winlogon Notify: p - p (file missing)
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft wscntfy Service - Unknown owner - C:\WINDOWS\wscntfy.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\programme\panda software\panda platinum 2005 internet security\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2005 Internet Security\psimsvc.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe

--
End of file - 8675 bytes

Vielen Dank für Eure Mühen hier im Forum.

bis dann...
BlackPriest

cosinus 15.11.2007 23:10
Zitat:
Er hat ne 500€ Tel.Rechnung daheim liegen.
Nix machen am Rechner! Nur vom Netz trennen, eine geeignete Software wie z.B. Acronis besorgen und ein Image der Systempartition anfertigen. Grund: So hat man was in der Hand, wenn man die Behauptung aufstellt, ein Dialer oder andere Malware hätte die Kosten verursacht.
Welche Nummern wurden denn angewählt? :confused:

Wie surft er? mit DSL oder noch mit ISDN/analog? Wenn über DSL, ist ein Modem oder ein ISDN-Adapter aktiv angeschlossen und war bereit eine Verbindung aufzubauen?

Das System jetzt ist jedenfalls eine einzige Seuche, da werkelt extrem viel Malware: :eek:

Code:
C:\WINDOWS\mrofinu1204.exe
C:\aulfadoo.exe
C:\WINDOWS\system32\wincheckp4.exe
C:\Programme\Insider\Insider.exe
C:\WINDOWS\F?nts\r?gsvr32.exe
C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\WinTouch\WinTouch.exe
C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Windows\rayiou.exe
O2 - BHO: (no name) - {D78F9737-6ABD-0842-F11E-09CB41B472A5} - C:\WINDOWS\system32\mefj.dll
O2 - BHO: (no name) - {E2A2A737-478E-3D76-DC2E-39E671845F95} - C:\WINDOWS\system32\mefj.dll
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1204.exe 61A847B5BBF72813309B3C466188719AB689201522886B092C BD44BD8689220221DD325762EA4EBF968951185EFC41280686 7680AEDE604D64C2661373FB11E7DCD66A47
O4 - HKLM\..\Run: [aulfadoo.exe] C:\aulfadoo.exe
O4 - HKLM\..\Run: [Winupdates] wincheckp4.exe
O4 - HKCU\..\Run: [Insider] C:\Programme\Insider\Insider.exe
O4 - HKCU\..\Run: [WinAble] C:\Programme\WinAble\winable.exe
O4 - HKCU\..\Run: [Wcrn] "C:\DOKUME~1\XXXX\ANWEND~1\ICROSO~1.NET\attrib.exe " -vt yazb
O4 - HKCU\..\Run: [Usvlgrfa] C:\WINDOWS\F?nts\r?gsvr32.exe
O4 - HKCU\..\Run: [WinTouch] C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\WinTouch\WinTouch.exe
O4 - HKCU\..\Run: [SfKg6w] C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Windo ws\rayiou.exe
O20 - Winlogon Notify: crehcjid - C:\WINDOWS\SYSTEM32\crehcjid.dll
O20 - Winlogon Notify: p - p (file missing)

Bereinigung völlig ausgeschlossen, das System muss definitiv neu aufgesetzt werden!

BlackPriest 15.11.2007 23:52
Hallo cosinus

Danke für Deine schnelle Antwort.
Habe ein Image gezogen und zusätzlich noch die ganze C: auf ne
USB-platte gesichert (mit ner BOOT-CD hochgefahren).

Der Rechner geht über Bluetooth ISDN ins Netz. Leider :pfui:

Die Telefonnummer ist auf dem PC nicht mehr zu finden. War leider schon jemand anderes vor mir dran.

Über einen Bekannten bei der Telekom habe ich den genauen Zeitpunkt, die Telefonnummer und die angebliche Glückspielfirma rausbekommen.

Alle 11 Sekunden 1€ :snyper:

War ne 0137-7xxxxxxx. Möchte jetzt hier nicht die komplette Nummer posten.

Hoffentlich kann ich Ihm noch helfen damit er nicht bezahlen muss.

Echt ne absolute Frechheit sowas.

bis dann...
BlackPriest

cosinus 16.11.2007 00:03
Okay, Image erstellt, nun hast du was handfestes. :daumenhoc
Ich hoffe, die Person vor dir hat nicht zuviele Beweise entfernt...

Vllt. hilft dir auch dieser Artikel weiter: Was tun als Opfer von 0137 und 0900: computerbetrug.de und dialerschutz.de


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19