Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   dialer-gen und dialer-251 (https://www.trojaner-board.de/29481-dialer-gen-dialer-251-a.html)

Ragnos 25.05.2006 18:56

dialer-gen und dialer-251
 
Hi!
Also ich hab mir so eine .rar datei runter geladen. Hab sie entpackt und seit dem hab ich den Dialer dialer-gen und dialer-251 auf meiner Festplatte. Bin drauf gekommen weil mein Virusscann (McAfee) in geblockt hat.
Aber wie bekomme ich ihn weg, jedes mal wenn ich ihn lösche ist er nach 10 min wieder da. er findet ihn in WINDOWS\Temp und WINDOWS\system32.
Manche datein die der Scanner findet gibt es allerdings gar nícht. In der Restore datei ist er auch nicht drinnen. Würde mich über jede Hilfe freuen.

Rene-gad 25.05.2006 21:36

@Ragnos
Zitat:

Aber wie bekomme ich ihn weg, jedes mal wenn ich ihn lösche ist er nach 10 min wieder da. er findet ihn in WINDOWS\Temp und WINDOWS\system32.
Die Goldene Regel 5 bitte lesen.
Zitat:

Manche datein die der Scanner findet gibt es allerdings gar nícht.
LOL: Der Scanner ist kein Mensch, er sieht auch das, was User nicht sieht.

Ragnos 26.05.2006 08:55

Also:
Ich benutze Windows XP mit Servicepack 2.
Den Virusscan McAfee.
Ich habe den Dialer: dialer-gen, dialer-gen.dr, dialer-genric.dr, dialer-251 auf meiner Festplatte. Der Viusscan findet den Dialer zwar kann aber manche Datein nicht löschen und so ist er nach 10 min wieder da.
Pfad der gefundenen Datein:
C:\WINDOWS\Temp\ddl457.tmp.exe (kann gelöscht werden)
C:\WINDOWS\Temp\ddl45A.tmp.exe (kann gelöscht werden)
C:\WINDOWS\system32\_dmm_.exe (kann nicht gelöscht werden, ich sehe die Datei auch nicht)
C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Anwendungsdaten\69317b71 (Anwendungsdatei, kann gelöscht werden ist aber jedes mal wieder da)

Ich habe alle Temp ordner schon mehrmals vollkommen entleert aber wie gesagt hat es nichts gebracht. Hoffe diese Infos sind vollständig.

Rene-gad 26.05.2006 08:59

@Ragnos
Versuche die Prozesse mit diesen Dateien (auffindbar über Task-Manager) mit Killbox beenden, dann die dateien löschen.Bringe Dein AV-Programm auf den neuesten Stand, starte im abgesicherten Modus und lasse alle Festplatten und alle Dateitypen scannen.

Ragnos 26.05.2006 09:10

bin grad drauf gekommen das ich noch einen Trojaner oben hab

Datei: srvjft[1].exe
Name des Trojaners: BackDoor-CVT.dr
Dateipfad: C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Temporary Internet Files\Content.IE5SDQ3SLEZ



Damit ich die Prozesse mit Killbox deaktivieren kann muss ich erst mein AV-Prog ausschalten weil das blockiert sie immer.

Rene-gad 26.05.2006 09:25

@Ragnos
Zitat:

bin grad drauf gekommen das ich noch einen Trojaner oben hab
Name des Trojaners: BackDoor-CVT.dr
Bei einem Backdoor kann ich Dir nur Tabula Rasa empfehlen. Hoffentlich hast Du ihn nicht aktiviert. Versuche noch die Temporären Internet Files zu leeren: Systemsteuerung/Internetoptionen/Allgemein/Temp. Internetfiles\Dateien Löschen, Haken gegenüber "Alle offlineinhalte löschen" setzen, OK drücken.

Ragnos 26.05.2006 14:46

So hab alle Prozesse die ähnliche Namen mit dem Dialer haben beendet, danach die Datein gelöscht und noch mal im abgesicherten Modus suchen lassen. Hat nichts gefunden aber sobald ich ihn wieder normal gestartet habe waren sie wieder da.

Würde es helfen wenn ich euch eine Liste aller Prozesse die ich laufen hab gebe?

Rene-gad 26.05.2006 15:01

@Ragnos
Scheinbar hast Du den Backdoor doch aktiviert. In dem Fall sollst Du Windows ASAP neu installieren.

Ragnos 26.05.2006 15:03

ASAP?
Was ist das? (Wo krieg ich es her?)
Ach ja ich hab von einem den Tipp bekommen hijackThis zu probieren und die Log Files heir zu posten.
Vielleicht bringt das was.


Logfile of HijackThis v1.99.1
Scan saved at 16:00:52, on 26.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
c:\programme\mcafee.com\vso\mcvsshld.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\713xRMTMon.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Creative\Sound Blaster Audigy 2\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Sound Blaster Audigy 2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\Sound Blaster Audigy 2\SB Performance Utility\CTPowUti.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\WINDOWS\TEMP\win180.tmp.exe
C:\Dokumente und Einstellungen\David\Desktop\Virus\HijackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.83.32.5:8080
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TV Card Remote Control Device Monitor] C:\WINDOWS\713xRMTMon.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster Audigy 2\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Sound Blaster Audigy 2\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTPerformanceUtility] C:\Programme\Creative\Sound Blaster Audigy 2\SB Performance Utility\CTPowUti.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [69317b71.exe] C:\WINDOWS\system32\69317b71.exe
O4 - HKLM\..\Run: [NI.UWA6P_0001_N822M1605] "C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3H4792DY\WinAntiVirusPro2006FreeInstall[1].exe" -nag
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Internet Download Accelerator] C:\Programme\IDA\ida.exe -autorun
O4 - HKCU\..\Run: [69317b71.exe] C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Anwendungsdaten\69317b71.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: .protected
O4 - Startup: WkCalRem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: .protected
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RaConfig2500.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1142628516456
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1132726705968
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/sh...26/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1246F93D-0657-4876-AAD4-934139D8B7E2}: NameServer = 193.83.32.5,172.16.2.52
O17 - HKLM\System\CS1\Services\Tcpip\..\{1246F93D-0657-4876-AAD4-934139D8B7E2}: NameServer = 193.83.32.5,172.16.2.52
O17 - HKLM\System\CS2\Services\Tcpip\..\{1246F93D-0657-4876-AAD4-934139D8B7E2}: NameServer = 193.83.32.5,172.16.2.52
O17 - HKLM\System\CS3\Services\Tcpip\..\{1246F93D-0657-4876-AAD4-934139D8B7E2}: NameServer = 193.83.32.5,172.16.2.52
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winbjt32 - C:\WINDOWS\SYSTEM32\winbjt32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

Rene-gad 26.05.2006 15:08

Zitat:

Zitat von Ragnos
ASAP?
Was ist das?

As Soon as Possible = so schnell, wie möglich
Zitat:

Ach ja ich hab von einem den Tipp bekommen hijackThis zu probieren und die Log Files heir zu posten.
Von wem?
Zitat:

Vielleicht bringt das was.
Ärger ;)

Ragnos 26.05.2006 15:18

Aha, da gibts ein kleines Problem, ich hab eh schon probiert Windows neu zu insallieren, aber ganz neu installieren kann ich es nicht weil es schon drauf ist also hab ich Windows reparieren lassen. Hat wie man sieht nichts gebracht. Dann hab ich mir gedacht jetzt ist es eh schon egal ich formatiere einfach die Festplatte. Aber ich glaube es liegt am BIOS ich kann die Bootreihenfolge nicht ändern und beim Hochfahren kommt auch nicht bitte drücken sie F3 um von der CD zu starten wie es normalerweise kommen würde. Jetzt muss ich warscheinlich erst mal schauen das ich ein BIOS Update bekomme damit ich die Festplatte überhaupt formatieren kann.
Außer du kannst mir vielleicht einen schnelleren weg sagen.

Rene-gad 26.05.2006 15:22

@Ragnos
Zitat:

Jetzt muss ich warscheinlich erst mal schauen das ich ein BIOS Update bekomme damit ich die Festplatte überhaupt formatieren kann
Wenn Du jetzt noch vorhast, Dich ins BIOS einzumischen, wende Dich lieber gleich an einen Profi: BIOS uptodaten ist gar nicht so einfach, wie man denkt.
Zitat:

ich kann die Bootreihenfolge nicht ändern
Kommst Du überhaupt ins BIOS?
Zitat:

kommt auch nicht bitte drücken sie F3 um von der CD zu starten wie es normalerweise kommen würde
Nomalerweise kommt "Drücken Sie eine beliebige Taste, um von CD zu starten..."

Ragnos 26.05.2006 15:48

Ja ins BIOS rein komm ich schon nur wenn ich die Reihenfolge ändern will macht es nur Beeep.
Und das drücken sie eine beliebige Taste kommt auch nicht, Startdiskette geht auch nicht Laptop hat kein Diskettenlaufwerk.

Rene-gad 26.05.2006 15:56

Zitat:

Zitat von Ragnos
Ja ins BIOS rein komm ich schon nur wenn ich die Reihenfolge ändern will macht es nur Beeep.

Der letzte Versuch: wenn Du CD mit SP2 hast, lege sie ein und warte, bis das Autorun-Schild auftaucht, wähle die Option "Windows Installieren" (sry, für den genauen Name - keine Haftung). Ansonsten, wenn Laptop noch Hersteller-Garantie hat, nimm die in Anspruch, wenn Nein - musst Du ein Paar Euro für Instandsetzung wohl ausgeben.

cosinus 26.05.2006 16:05

Zitat:

Zitat von Ragnos
Ja ins BIOS rein komm ich schon nur wenn ich die Reihenfolge ändern will macht es nur Beeep.
Und das drücken sie eine beliebige Taste kommt auch nicht, Startdiskette geht auch nicht Laptop hat kein Diskettenlaufwerk.

Schau mal hier, das ist ein schöner Installationsguide für Windows XP.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131