Dialer?!

Dieses Thema im Forum "Sicherheit" wurde erstellt von Winhater, 9. Juni 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Winhater

    Winhater Byte

    Registriert seit:
    2. August 2002
    Beiträge:
    61
    Ich hoffe jemand kann mir weiterhelfen,also:

    Ich glaube ich hab mir irgendwie ´ne Art Dialer eingefangen. In letzter Zeit haben sich ab und zu als ich ganz normal am surfen war immer dieselben ****o-Fenster geöffnet mit dem üblichen Scheiß (Software,Zugang und bla bla bla...). Und gestern habe ich wohl nicht schnell genug reagiert und alles schnell zu gemacht und dann hatte ich schon 3 Sex-Links in meinen Favorites und die Start-Seite wurde im IE immer von selbst verändert, ehe ich die zugehörige *.dll Datei gelöscht hatte. Als ich dann heute den PC runtergefahren habe und neugestartet habe, war die Datei "hosts" im System32 Verzeichnis auch von selbst gelöscht, so dass der IE die Page zum einwählen nicht unter ihrem Namen sondern nur unter der IP erkannt hat.
    Der Dialer kann zum Glück nichts anrichten da wir eine Firewall im Form eines extra-PCs im Haus haben und bei uns gar keine Verbindung aufbauen kann, allerdings läuft das Internet sehr langsam im Gegensatz zu sonst (habe DSL), zwischendurch öffnen sich irgendwelche ****o-Popups und der Internet Explorer schmiert andauernd einfach ab. Norton hat auch nichts gefunden.

    Meine Frage: Ich weiß überhaupt nicht wo ich anfangen soll zu suchen bzw. wo sich solche Dinger einnisten. Oder gibt´s irgendwelche Programme die speziell darauf aus sind solche Dialer auf ´nem Rechner ausfindig zu machen? Wäre für Hilfe sehr dankbar.

    Gruß
     
  2. Gast

    Gast Guest

    Hi !

    erstelle mal ein Log mit HJT - http://www.hjt.klaffke.de

    das Log hier posten, dann lässt sich der Müll identifizieren !
     
  3. Winhater

    Winhater Byte

    Registriert seit:
    2. August 2002
    Beiträge:
    61
    Weiß nicht ob das richtig ist,aber denke ich mal,also hier der *.log File:

    Logfile of HijackThis v1.97.7
    Scan saved at 21:54:04, on 09.06.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    D:\Norton Anti Virus 2003\navapsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Mixer.exe
    I:\Logitech iTouch\iTouch\iTouch.exe
    C:\Program Files\Desktop Messenger\8876480\Program\backWeb-8876480.exe
    C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
    D:\E-Mail Spam Cleaner\Spamihilator\spamihilator.exe
    C:\WINDOWS\explorer.exe
    D:\ICQ\ICQ\Icq.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    D:\Spybot\Spybot - Search & Destroy\SpybotSD.exe
    D:\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#10213
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://smoothwall:445/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#10213
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#10213
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - i:\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton Anti Virus 2003\NavShExt.dll
    O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Documents and Settings\Heiner\Application Data\sysib\netcf.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton Anti Virus 2003\NavShExt.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [zBrowser Launcher] I:\Logitech iTouch\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\backWeb-8876480.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [*******ElbyCDFL] "D:\Clone CD\ElbyCheck.exe" /L ElbyCDFL
    O4 - HKLM\..\Run: [sysloader] "C:\WINDOWS\System32\sysload .exe" -init
    O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
    O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\d3mj32.dll,Install
    O4 - HKCU\..\Run: [Spamihilator] "D:\E-Mail Spam Cleaner\Spamihilator\spamihilator.exe"
    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\d3mj32.dll,Install
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Gator eWallet.lnk = C:\Program Files\Gator.com\Gator\Gator.exe
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://I:\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: WebSpeech (HKLM)
    O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
    O9 - Extra button: ICQ Pro (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra button: Translate (HKLM)
    O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O10 - Broken Internet access because of LSP provider 'rpc32vm.dll' missing
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} - http://secure.goodthinxx.com/(yxm2px3urn5k51nfhs3ryc3v)/secureweb/securewebgt.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37722.5420138889
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.power-url.de/install/StarInstall.ocx
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B9CF8CC4-B701-4E37-ACBA-2A4D8449059D}: NameServer = 192.168.0.2
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D1C712FD-311B-4984-92DB-67991C7A5DED}: NameServer = 192.168.0.2,0.0.0.0
     
  4. Winhater

    Winhater Byte

    Registriert seit:
    2. August 2002
    Beiträge:
    61
    Hab übrigens vorher mal SpyBot laufen lassen und der hat doch so einiges gefunden. Hab den Krempel dann entfernen lassen, vielleicht hat das ja schon geholfen?!?!
     
  5. Gast

    Gast Guest

  6. Winhater

    Winhater Byte

    Registriert seit:
    2. August 2002
    Beiträge:
    61
    Hmm hatt SpyBot schon erledigt. Aber warum Gator? Das Programm is ja eigentlich ganz nützlich, damit man die Passwörter nicht immer eingeben muss.
     
  7. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ Winhater

    Zunächst solltest du mal dein System aktualisieren, d.h. SP1 und alle weiteren sicherheitsrelevanten Patches aufspielen.

    Diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html
    checken, danach postet dun uns die Funde :
    C:\WINDOWS\System32\sysload .exe
    C:\WINDOWS\d3mj32.dll
    C:\Program Files\Desktop Messenger\8876480\Program\backWeb-8876480.exe

    Installiere >> SpHjfix.exe und desinfiziere dein System, danach >> CWShredder << installieren, updaten und scannen.

    Nochmals eine neues Log-File erstellen und posten.
     
  8. Winhater

    Winhater Byte

    Registriert seit:
    2. August 2002
    Beiträge:
    61
    Sorry,hab jetzt nicht ganz verstanden was mit SP1 gemeint is und wo krieg ich die Patches?
     
  9. Winhater

    Winhater Byte

    Registriert seit:
    2. August 2002
    Beiträge:
    61
    Zu überprüfende Datei: d3mj32.dll

    d3mj32.dll - packed with UPX
    d3mj32.dll Infiziert: TrojanDownloader.Win32.Wintrim.be


    Statistiken:
    Bekannte Viren: 90699 Updated: 09-06-2004
    Größe der Datei (Kb): 43 Viren-Korpus: 1
    Datei: 2 Warnungen: 0
    Archive: 0 Verdächtigt: 0

     
  10. Winhater

    Winhater Byte

    Registriert seit:
    2. August 2002
    Beiträge:
    61
    Zu überprüfende Datei: backWeb-8876480.exe

    backWeb-8876480.exe Ok


    Statistiken:
    Bekannte Viren: 90699 Updated: 09-06-2004
    Größe der Datei (Kb): 16 Viren-Korpus: 0
    Datei: 1 Warnungen: 0
    Archive: 0 Verdächtigt: 0


    Kann die Sysload.exe Datei aber irgendwie nich finden
    :confused:
     
  11. Gast

    Gast Guest

    bei Dir heißt sie "sysload .exe" - achte auf das blank !!! sowas macht sie mehr als verdächtig ...

    :rolleyes:

    btw. Updates & Patches gibt´s bei M$ - wo sonst ?
     
  12. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Im Windows Explorer -> Extras -> Ordneroptionen -> Reiter Ansicht -> Alle Dateien und Ordner anzeigen aktivieren
    und
    Erweiterungen bei bekannten Dateitypen ausblenden
    Geschützte Systemdaten ausblenden
    Inhalte von Systemordner anzeigen
    jeweils Haken entfernen und Übernehmen.
     
  13. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
  14. Gast

    Gast Guest

    Klick mal auf den Link, den ich gepostet habe.
     
  15. Gast

    Gast Guest

    Jo, oder hier:

    http://www.heise.de/security/artikel/47520


     
  16. Winhater

    Winhater Byte

    Registriert seit:
    2. August 2002
    Beiträge:
    61
    jo danke erstmal,ich denke ich werde vorerst nicht alles neu aufspielen, hab ich im Moment echt keine Lust bzw. Zeit zu.

    Was ist das denn jetzt genau was sich da auf meinem PC befindet? Kann keine Beschreibung des Virus finden der mir da angezeigt wurde.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen