|
http://63.218.226.78/connect.cgi?id=897 Hallo, wir haben seit ca. 4 Wochen ein Problem mit dem Dialer-Installer "http://63.218.226.78/connect.cgi?id=897". Dieser wird während des Windows-Starts im Standardbrowser (Firefox nun, zuvor IE) geladen und will einen Dialer installieren. Dabei wird der gesamte Autostart von Windows nicht geladen. Ich habe mit allen bekannten Programmen (CWShredder, SpyBot 1.3, A², SpySweeper, Ad-Aware SE ...) alles mehrmals durchsucht. Es wurde auch - mal - was gefunden und alles danach entfernt. Leider werden wir das Ding nicht los (es ist auch nicht bei jedem Windows-Start aktiv, aber bei fast jedem) System: Windows XP Prof, SP1, alle Updates für SP1 Internet: DSL über Router Wo kann versteckt sein, dass beim Windows-Login der Standardbrowser geladen werden soll mit der Seite http://63.218.226.78/connect.cgi?id=897 Ich habe Registry (Run ...) durchsucht ... nix! Bin langsam ratlos. MfG, Tobybe |
|
Hallo, einige Nachträge: Habe soeben SP2 und alle neuen Updates installiert Software wie "Spyware Vanisher", "Spyware Eliminator" ... finden rund 34 infizierte Dinge (viel in Registry, 1 Dialer ...). Jedoch muss man die Programme kaufen, damit man die Trojaner löschen kann. Will jedoch die Programme nicht kaufen. Die Freeware Tools a la Ad-Aware finden wohl leider nicht mehr alles :( Okay, anbei eine aktuelles Logfile aus Hijack This: Logfile of HijackThis v1.99.1 Scan saved at 22:02:31, on 08.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\xp-AntiSpy\xp-AntiSpy.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Win\LOKALE~1\Temp\Rar$EX00.905\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe O4 - HKCU\..\Run: [Spyware Vanisher] c:\programme\spywarevanisher-free\FreeScanner.exe -FastScan O4 - HKCU\..\Run: [SpyBlocs] C:\Programme\eBlocs\SpyBlocs\GLF41.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O15 - Trusted IP range: 63.218.226.78 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe (Zonealarm wird nicht mehr verwendet, die Windows-Firewall ist auch deaktiviert, Der Link/Dialer scheint bereits tot zu sein bzw. wurde vom netz genommen - trotzdem wird die seite angefordert) |
Der Thread ist zwar jetzt schon ein paar Tage alt, aber ich habe gerade ein ähnliches Problem gehabt: Mein Rechner hat ständig versucht, 63.218.226.78 und manchmal 205.177.124.72 aufzurufen. Die Ursache: ein Trojaner, der sich in der Datei c:\windows\system32\drivers\wlan1934.sys versteckt. Diese Datei löschen, und alles wird gut. Leider ist sie wahrscheinlich geöffnet, und lässt sich daher nur über Umwege löschen: - Als Administrator anmelden - Process Explorer von www.sysinternals.com installieren und starten - Strg-F drücken und "wlan1934" eingeben - Es sollte der Handle c:\windows\system32\drivers\wlan1934.sys im Prozess "System" gefunden werden - diesen doppelklicken - im unteren Teil die wlan1934.sys mit Rechtsklick auswählen -> Close Handle -> Ja - Jetzt lässt sich die c:\windows\system32\drivers\wlan1934.sys löschen - Neustart, fertig! Wer will, kann auch noch die Registry-Einträge löschen: - regedit.exe ausführen - links oben "Arbeitsplatz" auswählen - Strg-F drücken und "wlan1934" eingeben; Das Kästchen "Schlüssel" aktivieren; "Ganze Zeichenfolge vergleichen" deaktivieren - Den gefundenen Schlüssel löschen; hierzu zunächst mit Rechtsklick -> Berechtigungen... die nötigen Vollzugriffs-Rechte setzen - mit F3 weitersuchen und obigen Schritt wiederholen bis alle Einträge entfernt sind |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board