Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Merkwürdige Datei und andere seltsame Dinge - Dialer? (https://www.trojaner-board.de/1100-merkwuerdige-datei-andere-seltsame-dinge-dialer.html)

Hannibal125 06.10.2003 10:25

Tach Leutz,

folgende Probs:

1. Bin jetzt umgezogen und im Zuge des Umzuges von DSL auf ISDN zum Internetzugang umgestiegen. Benutze eine Telefonanlage mit integrierter ISDN-Karte (Eumex504PC SE). Zum Einwählen ins WWW nutze ich allerdings weiterhin die T-Online Software 4.0 und nicht die Routerfunktion der Telefonanlage. Das funktioniert auch alles einwandfrei, ABER: Manchmal – zwar selten, aber es kommt vor – kommt die Warnmeldung das ein Programm einen Internetzugang zur Nummer 0191011 (ist das die Einwahlnummer von T-Online?) aufbauen möchte und ob ich dies zulassen will. Diese Meldung kommt auch immer wenn ich mich einwähle – was dann ja normal ist. Allerdings wie gesagt erscheint diese Meldung auch manchmal ganz ohne mein Zutun! Was kann das sein? Dialer?

Habe die Registry nach den auf trojaner-info.de angegebenen „Regeln“ durchsucht und bin auf eine merkwürdige Datei p_981116.exe gestoßen. Diese befindet sich in den Verzeichnissen:

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Doc Find Spec MRU (was aber glaube ich normal ist, da hier alle Dateoien angezeigt werden, die ich vorher mit der “Suchen” Funktion in Windows gesucht hab)

Und in

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

Hier unter dem Name “DXM6Patch_981116“ mit dem Wert „C:\WINDOWS\p_981116.exe /Q:A“

Ist da dran was faul???

Dieses Verzeichnis scheint mir übrigens das zu sein, indem alle Anwendungen aufgelistet sind die beim Starten von Windows aufgerufen werden (Ich benutze übrigens Win98), ist das korrekt?

Da ich eben den Verdacht eines Dialers habe, habe ich auch mal die laufenden Prozesse gecheckt. Da ich aber Laie bin, kann ich mit vielen dieser Anwendungen nix anfangen. Ich liste die, die mir nix sagen mal hier auf, vielleicht kann mir einer von euch sagen, ob sie OK sind, oder nicht:

Wenn ich offline bin:

- Explorer
- Stimon
- Lvcoms
- Wkcalrem
- Starter - so weit ich weiß, der Starter für den “Mixer” meiner Soundkarte
- Systray
- Mdm

Wenn ich online bin kommen diese hinzu:
- Toduclac (Irgendwas von T-Online, oder?
- Rnaap

Sind die OK?

Können das auch entweder der AIM (ohne dass ich mich anmelde, natürlich und ohne dass ich ihm den Befehl zum online gehen gebe; ansonsten is ja klar, dass auch der ne Verbindung herstellen will/muss wenn ich mich anmelde...) oder der Realplayer sein? Wobei ich den Realplayer nicht richtig installiert habe, sondern nur das „Startcenter“.

Wäre euch für Hilfe SEHR dankbar!

2. hab ich das kleinere Problem, dass mein Rechner in der letzten Zeit nur in den seltensten Fällen korrekt herunter fährt. Meistens hängt er sich bei dem Bildschirm „Windows wird heruntergefahren...“ oder bei schwarzem Bildschirm mit weißem Cursor oben links auf. Woran kann das liegen?

Wie gesagt: THX für Hilfe im Voraus, vor allem wegen der Sache mit dem „Vielleciht-Dialer“ mache ich mir Sorgen...


Mit sorgendem Gruß,
Hannibal

Rene-gad 06.10.2003 11:35

hi hannibal125,
Zu 1. An deiner Stelle würde ich YAW und Spybot laufen lassen. Die Datei sieht IMHO wirklich verdächtig aus.
Zu 2. Es kann daran liegen, dass die neue Software mit dem nicht gerade neuem BS Spielchen spielt. Bei mir war ein ähnliches Problem mit Win95/MSoffice2000 gewesen. So schlimm fand ich es nicht: es ist auf jedem Fall besser, als wenn der Rechner nicht hochfahren konnte ;) .

Hannibal125 06.10.2003 15:40

Hmmm... hab jetzt erstmal meine aktuellen Rechnungsdaten bei T-Online gecheckt und die weisen bis jetzt mal nicht auf überhöhte Kosten hin. Die sind eigentlich normal. Vielleicht ein Trojaner und kein Dialer?

Zu YAW: Hab das Proggy kurz mal installiert, danach lief mein System allerdings sehr instabil. Hatte mit der ungeupdateten Version mal Laufwerk C: gecheckt wo sich auch das Verzeichnis WINDOWS befindet. Da zumindest hat er nix gefunden... Mein Virenscanner findet auch nix... und nu??

Gruß,
Hannibal

baloons 10.10.2003 09:13

Also die 0191011 ist definitiv die T-Online Einwahlnummer.

Deine p_981116.exe sieht mir aber verflixt nach Sven.W32 bzw. Gibe.F aus. Also nach einem Massenmail-Virus.

Deshalb folgende Fragen / Vorschläge:

- Ist ein aktueller Virenscanner installiert? Welcher? Aktuellste Virendefinitionen?
Wenn nicht, DRINGEND auf dem Merkzettel notieren: Virenscanner installieren

- Ist das System aktuell? Es gab ein paar wichtige Patches von Microsoft, die äusserst gefährliche Exploits des IE geschlossen haben. Über diese verbreitet sich Gibe.F zur Zeit auch.
Zum Aktualisieren auf http://windowsupdate.microsoft.com gehen und automatisch updaten lassen oder dort die Updates suchen.

- Hast du vielleicht einen Microsoft-Patch, der per e-mail kam, installiert?

- Hol dir Stinger und lass ihn laufen (kostenlos):
http://download.nai.com/products/mca...rt/stinger.exe

- Mach einen Onlinescan bei Trend (kostenlos):
http://housecall.trendmicro.com/

- Mach einen Onlinescann bei Panda (kostenlos):
http://www.pandasoftware.com/actives..._principal.htm

Postest du, was dabei rauskommt?

Missing Neighbour 14.10.2003 12:20

hi,

und wenn du gerade bei microsoft vorbeischaust,
guckst du auch gleich nach dem shutdown-patch
für win98 um.
das löst dann evtl. 2tens.

ich weiss ja nicht wie das bei 98 mit den patches
gehandhabt wird, aber da der support ja langsam
aber sicher eingestellt wird, sollte man
vielleicht daran denken, die fixes lokal
zu speichern.


und tschüss
missing neighbour

Shadow 14.10.2003 18:40

</font><blockquote>Zitat:</font><hr />Original erstellt von Missing Neighbour:

ich weiss ja nicht wie das bei 98 mit den patches
gehandhabt wird, aber da der support ja langsam
aber sicher eingestellt wird, sollte man
vielleicht daran denken, die fixes lokal
zu speichern.
</font>[/QUOTE]AFAIK wird der Support sicher zum Jahresende eingestellt.
Dies bedeutet aber nicht, dass die alten Fixes/Patches etc. nicht mehr downloadbar sind von MS (Achtung besteht Copyright drauf, NICHT woanders bereitstellen, jedenfalls nicht offen)
Fixes/Patches/SPs sollte man meiner Meinung nach IMMER lokal speichern


p_981116.exe könnte auch ein hängengebliebener M$-Windows-Patch sein, mir ist so als hätte ich vor kurzem mal was drüber gelesen, schlau dich mal dort =&gt; http://support.microsoft.com/default...ct=WWINDOW9Ger

tweini 15.10.2003 07:08

</font><blockquote>Zitat:</font><hr />
Original erstellt von Shadow

Fixes/Patches/SPs sollte man meiner Meinung nach IMMER lokal speichern

</font>[/QUOTE]Wie jetzt LOKAL? Ich habe dem vermaledeitet SP1a 5 Stunden!!!!!!!!!! [img]graemlins/heulen.gif[/img] gebraucht um es zu installieren !!!!! und das Steup, was ich "LOKAL" [img]graemlins/dummguck.gif[/img] gespeichert habe, war nur ein INSTALLER!!!! Und dieser ignorante Mr. Billy Gate (open for any Intruder, as well for Trojans, horses and other fuckin' malware) denkt auch noch, dass jeder eine I-net Leitung hat wie eine Wasserversorgung.... ich habe mit meinem 56K-Modem 5 Stunden gebraucht um das SP1a downzuloaden, obwohl es rein von der doenloadgrösse von ca 30 MB nur ein Stunde gebraucht hätte! [img]graemlins/kloppen.gif[/img] [img]graemlins/kloppen.gif[/img] [img]graemlins/kloppen.gif[/img]

Sorry, aber bei diesen Satz war ich echt wütend geworden. Dachte iIch hätte mit XP (legal gekauft) ein echte gutes BS. Aber in Wirklichkeit nur ein nicht endenwollendes ABO für Patches, Hotfixes and stufff...

twein(disapointed by code)

Shadow 15.10.2003 09:18

@Tweini:

Genau deshalb lokal speichern! Nach jeder Neuinstallation bzw. nach jeder größeren Änderung müsstest Du das SP erneut installieren! DESHALB lokal speichern.
Kauf Dir ein NovemberHeft von PC-Pro/PC-Magazin/... dort ist eine CD-Enthalten mit allen Patches und SPs von Win2000 und WinXP bis Mitte August

5 Stunden nur für den Installer(?) ist hart, das komplette XP SP1a ist übrigens "nur" 126 MB groß

CyberFred 15.10.2003 11:38

</font><blockquote>Zitat:</font><hr />Original erstellt von Hannibal125:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
Hier unter dem Name “DXM6Patch_981116“ mit dem Wert „C:\WINDOWS\p_981116.exe
</font>[/QUOTE]Der Registrypfad erinnert mich an terratech, a gibts z.B. eine DMX6-Fire, kann es sein, dass du eine Soundkarte von Terratec hast?

ciao


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19