Virus? Dialer?

Dieses Thema im Forum "Sicherheit" wurde erstellt von shgvie, 29. März 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. shgvie

    shgvie ROM

    Registriert seit:
    29. März 2004
    Beiträge:
    7
    Weiß jemand, wie man das folgende Problem behebt bzw. was der Hintergrund ist? :confused:

    Seit ein paar Tagen öffnet sich beim Hochfahren des Rechners automatisch die DFÜ-Verbindung, außerdem schlägt während Internetverbindungen immer mal wieder Norton Internet Security an und meldet, dass ?eine Netzwerkkommunikation versucht wird, die auf Windows Explorer zugreift?. Anwendung: C:\\WINDOWS\EXPLORER.EXE.

    Obwohl ich schon Regeln konfiguriert habe, versucht der PC immer wieder die Verbindung. Kann es sein, dass ich mir einen Dialer oder Virus eingefangen habe und wenn ja, wie finde und entferne ich ihn? Danke im voraus für einen Tipp.
    :bet:
     
  2. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Ad-Aware weist darauf hin, dass dann, wenn Spyware-Komponenten gelöscht werden, damit verknüpfte Programme, die diese Spywaere beinhalten und per Installation auf den Rechner bringen, auch nicht mehr funktionieren.Mann muss sich also in manchen Fällen entscheiden : Entweder ein kostenloses Programm mit Spyware-Elementen oder bezahlen und ohne Spyware. Es gibt Listen darüber, welche Freeware-Programme welchee Spyware-Elemente mitbringen; habe aber momentan keinen Link zur Hand.
     
  3. dedee

    dedee Guest

    Ad-Aware bietet doch auch die Möglichkeit die Dateien in Quarantäne zu sichern um sie bei Bedarf wieder installieren zu können.
     
  4. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Das könnte man nur sicher beantworten, wenn du uns die Einträge alle nennst.
    Bis jetzt hab ich immer alles gelöscht was mir Ad-Aware angezeigt hat und es gab nie Probleme. Das ist natürlich keine Garantie, dass es bei dir auch so ist, aber ich würd sagen das Risiko kannst du eingehn.
     
  5. shgvie

    shgvie ROM

    Registriert seit:
    29. März 2004
    Beiträge:
    7
    Die Frage mag jetzt blöd sein - aber können all diese 286 dateien wirklich gelöscht werden? keine gefahr, wichtige bzw. benötigte dateien zu erwischen?
     
  6. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Löschen, was denn sonst
     
  7. shgvie

    shgvie ROM

    Registriert seit:
    29. März 2004
    Beiträge:
    7
    Hab jetzt einen Scan mit Ad-Aware durchgeführt. Das Ergebnis:

    "286 new objects"

    47 registry keys identified
    3 registry values identified
    229 files identified
    7 folders identified

    Was mache ich nun damit?
     
  8. Gast

    Gast Guest

    Dir ist aber schon klar, dass du ihn da ggf. selbst abschreckst? So schwer ist ein Sniffer nun auch nicht zu kapieren.
    Was liefert er an Daten:
    Ziel IP, Protokoll, Quellport, Zielport, empfangene und gesendete Daten und u.U. gleich noch das verantwortliche lokale Programm.
    Also exakt das, was man braucht.
     
  9. Gast

    Gast Guest

    Steele hat grundsätzlich recht. Aber die Sniffer erfordern schon ein wenig Einarbeitung, wenn man sich mit sowas noch nicht auseinandergesetzt hat.

    Bevor du dich vielleicht abschrecken läßt und gar nichts machst, solltest du unbedingt den Tipp von Maxmaster befolgen. Wenn's nichts bringt, schalte mal die Funkerei der von Steele genannten Programme ab (geht über Optionen der Programme oder Start - ausführen - msconfig - Systemstart und schau mal nach, ob es an einem der update-willigen Programme liegt.
     
  10. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Mir fällt bei den geposteten HijackThis-Logs immer wieder auf, wie ungheuer viele Programme da im Allgemeinen mitgestartet werden. Viele Programme haben die Eigenart, sich in Autostarts zu schreiben, um dann später beim eigentlichen Programmstart schneller laden zu können. Bei heutigen RAM-Größen mag das auch kein Arbeitsspeicher-Problem mehr sein, führt aber dazu, dass es dann schwierig ist, ein Programm zu identifizieren, welches unerwünschte Nebenwirkungen hat.Wenn man die Autostarts aufs Nötigste reduzieren würde, wäre eine solche Identifikation wesentlich leichter.
     
  11. Gast

    Gast Guest

    Wenn du es genau wissen willst, wirst du wohl einen Netzwerksniffer wie Ethereal oder TCPDump benutzen müssen.
    Da du aber einen Haufen Programme im Autostart hast, die gerne mal nach Updates suchen oder andere Informationen abrufen (wie z.B. Realplayer, Norton-Geraffel, Winamp usw.), kann das auch durch diese Programme verursacht werden. Aber wie gesagt: Zweifelsfrei bekommst du das durch Sniffen der Datenpakete mit.
     
  12. shgvie

    shgvie ROM

    Registriert seit:
    29. März 2004
    Beiträge:
    7
    Hab die Dateien teilweise schon entfernt, noch ohne Erfolg. Der PC versucht immer noch selbständig, eine DFÜ-Verbindung herzustellen. Ich versuch mal noch die anderen Tipps. Danke mal soweit für die Hilfe! Kann einer der Hijacker dafür verantwortlich sein oder woran liegt das normalerweise?
     
  13. Gast

    Gast Guest

    C:\PROGRAMME\DOWNLOADWARE\DW.EXE

    Adware. Weg.

    R1/R0-Einträge fixen lassen

    O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL

    Hijacker. Weg.

    O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H

    Siehe oben. Weg.

    O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - h**p://www.spk-mm-mn.de/CFIDE/classes/CFJava.cab

    Verdächtig.

    O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.25.152/code/PWActiveXImgCtl.CAB

    Hijacker. Weg.

    O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - h**ps://spk-sdb.izb-hb.de/SPK_MM_LI...erageinstV8.cab

    Verdächtig.
     
  14. fleischwolf

    fleischwolf ROM

    Registriert seit:
    28. März 2004
    Beiträge:
    4
    Versuchs mal mit Adaware 6.0 (findet Dialer) und ein Gratis Virenscanner AntiVir. Findest Du beides auf Chip.de
     
  15. Gast

    Gast Guest

  16. shgvie

    shgvie ROM

    Registriert seit:
    29. März 2004
    Beiträge:
    7
    Logfile of HijackThis v1.97.7
    Scan saved at 21:40:57, on 30.03.2004
    Platform: Windows ME (Win9x 4.90.3000)
    MSIE: Internet Explorer v5.50 (5.50.4134.0100)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\SSDPSRV.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
    C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE
    C:\WINDOWS\SYSTEM\HPLAMPC.EXE
    C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\WINDOWS\HAMPANEL.EXE
    C:\WINDOWS\MHOTKEY.EXE
    C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
    C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
    C:\PROGRAMME\DOWNLOADWARE\DW.EXE
    C:\PROGRAMME\WINAMP\WINAMPA.EXE
    C:\WINDOWS\SYSTEM\HPZTSB05.EXE
    C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
    C:\WINDOWS\RunDLL.exe
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\PROGRAMME\MESSENGER\MSMSGS.EXE
    C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
    C:\PROGRAMME\NIKON\NKVIEW5\NKVMON.EXE
    C:\PROGRAMME\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE
    C:\WINDOWS\SYSTEM\MDM.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\TEMP\RAR$EX01.7H3\HIJACKTHIS.EXE
    C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
    C:\PROGRAMME\MICROSOFT WORKS\MSWORKS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://kloun.com/sp.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://kloun.com/sp.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://kloun.com/index.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hockeyweb.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://kloun.com/sp.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://kloun.com/index.htm
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [POINTER] point32.exe
    O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
    O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
    O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
    O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
    O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
    O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
    O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
    O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
    O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
    O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
    O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
    O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
    O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background
    O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
    O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
    O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O12 - Plugin for .EXE: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://www.spk-mm-mn.de/CFIDE/classes/CFJava.cab
    O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.25.152/code/PWActiveXImgCtl.CAB
    O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - https://spk-sdb.izb-hb.de/SPK_MM_LI_MN/SBrokerageinstV8.cab
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/SharedContent/sc/bin/cabsa.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security1.norton.com/SSC/SharedContent/vc/bin/AvSniff.cab
     
  17. Gast

    Gast Guest

    Sein kann vieles, auch Harmloses. Man müsste mehr Details über dein System wissen.
    Ein Anfang wäre es, wenn du dir HijackThis besorgst und ein Log hier postest.
    Bebilderte Anleitung:
    http://hjt.klaffke.de
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen