Wurstfuchs 0 Report Posted August 2, 2005 (edited) Hallo zusammen. Dummerweise habe ich mir wohl heute einen fiesen Dialer eingefangen, ich nehme an dass er in irgendeiner zip.datei versteckt war, denn ich kann mich nicht erinnern irgendwo OK eingegeben zu haben. Am Besten ich poste einfach mal alles was mir vom heutogen Tag noch so einfällt. 1. Ich entpacke eine Zip.datei, wenig später erscheint ein "P2P-Portal p2p-portal" auf meinem Monitor (30? pro Einwahl, Gott sei Dank kann dieser Dialer offenbar mit DSL nicht besonders viel anfangen ("keine Verbindung gefunden")) 2. Rechtsklick aufs Desktopicon, "svchost.exe C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp 3. Ok so weit so gut, Nortonscan (ja ich weiß Norton^^, bitte nicht hauen): 3 Ergebnisse Dialer.Intexus Dialer.Stardial Dialer.Stardial "Löschen" Konnte 2 Dateien nicht löschen Dialer.Stardial Dialer.Stardial Arg ich wusste es... Ok Google angeschmissen und nach Dialer.Stardial gesucht. Das Ding scheint besonders dreist zu sein (deaktiviert bei mir zum Beispiel den Taskmanager Siehe Bild) Ein spezielles Tool dafür scheint es nicht zu geben. HiJackThis wird zwar überall empfohlen, doch wenn man davon nichts versteht hilft einem das auch nichts weiter. Logfile of HijackThis v1.99.1 Scan saved at 22:49:32, on 02.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE E:\downloads\ICQ\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe E:\Programme\D-Tools\daemon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe E:\Programme\Winamp\winampa.exe E:\Quick Time\qttask.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe E:\Teamspeak\teamspeak2_RC2\TeamSpeak.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Symantec\LiveUpdate\ALUNOTIFY.EXE C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe E:\downloads\Leechget\LeechGet 2004\LeechGet.exe C:\Dokumente und Einstellungen\ich\Eigene Dateien\ICQ Lite\192749038\-=ISF]I[Gray Fox=-_174264211\procexp.exe E:\downloads\HiJackThis\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\downloads\ICQ\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [iCQ Lite] E:\downloads\ICQ\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [urlLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "E:\Quick Time\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [steam] "e:\programme\steam\steam.exe" -silent O4 - HKCU\..\RunOnce: [iCQ Lite] E:\downloads\ICQ\ICQLite\ICQLite.exe -trayboot O4 - Startup: Registration Brothers In Arms.LNK = G:\Support\Register\RegistrationReminder.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\downloads\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://E:\downloads\Leechget\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://E:\downloads\Leechget\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://E:\downloads\Leechget\LeechGet 2004\\Parser.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\downloads\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\downloads\ICQ\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} (AcontiX Control) - http://secure.aconti.net/acontix/goodthinxx.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {E13F1132-4CA0-4005-84D3-51406E27D269} (BTDownloadCtrl Control) - http://www.shockwave.com/content/thinktank...ownloadCtrl.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Ractfbsp - Sonic Solutions - (no file) O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe Spybot Search&Desroy findet nichts Norton kann sie nicht löschen, und findet sie auf einmal beim letzten Scan nicht mehr 0_o Ich wollte eigentlich auch nochmal in der Registry suchen, allerdings weiß ich nicht wirklich wonach. Edited August 2, 2005 by Wüstenfuchs
King_Of_KingZ 0 Report Posted August 2, 2005 (edited) bei hijack gibtsn trick (lol naja "trick"..) alles löschen was man nich kennt ABER AUCHTUNG ! damit aknn man sich übelst das system zerscießen falls amn nich genug der seriösen sachen kennt^^ aber ganz ehrlich ? ich kann an deinem *.log nichts engatives finden außer diese symantec einträge falls du was von der firma hasst is logisch aber irgendwie noch nie gehört .... "C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe" scheint auch von diesem symantec zu kommen ... sieht irgendwie verdächtig aus find ich^^ *edit* vermutlich ahm die deine svchost "gehackt" irgendwie erweitert negativ ... fragt sich ob du wiederherstellungspunkte oder sowas ahsst Edited August 2, 2005 by King_Of_KingZ
Corsair 217 Report Posted August 2, 2005 Versuch mal über "Start-Suche"ob du die .exe findest. Und dann versuch das Teil zu löschen.Oder wenn du einen Wiederherstellungspunkt hast versuche es damit. Aber da du das mit dem deaktivierten Taskmanager erwähnt hast ,schätze ich das du um ein "format c:/"nicht herum kommen wirst.Bei mir hatte so ein Mistding damals auch den Taskmanager abgeschaltet.Und erst nach dem formatieren lief die kiste wieder
Wurstfuchs 0 Author Report Posted August 2, 2005 Versuch mal über "Start-Suche"ob du die .exe findest. Und dann versuch das Teil zu löschen.Oder wenn du einen Wiederherstellungspunkt hast versuche es damit. Aber da du das mit dem deaktivierten Taskmanager erwähnt hast ,schätze ich das du um ein "format c:/"nicht herum kommen wirst.Bei mir hatte so ein Mistding damals auch den Taskmanager abgeschaltet.Und erst nach dem formatieren lief die kiste wieder Negativ... Kurz zuvor um ein Scanprogramm zu testen Systemwiederherstellung deaktiviert
-=GeneralChaos=- 0 Report Posted August 2, 2005 Wenn du dir sowas gefangen hast und es so hartnäckig ist würde ich das System neu aufsetzen. Ist 1. generell keine blöde Idee bei solchen Dingen 2. am sichersten & 3. nicht wirklich eine Wissenschaft. Aber davon mal abgesehen können Dialer aus rein technischen Gründen prinzipiell nicht mit DSL funktionieren (ein Dialer wählt eine Telefonnummer an und bei DSL wird der Verbindungsaufbau nicht über eine Telefonnummer hergestellt, sondern über eine Netzwerkverbindung), d.h. solange du keine zusätzliche ISDN Verbindung auf dem Rechner eingerichtet hast (z.B. via ISDN Karte) verursacht dir das Ding zumindest keine Kosten, sondern nur Ärger
Wurstfuchs 0 Author Report Posted August 2, 2005 (edited) Wenn du dir sowas gefangen hast und es so hartnäckig ist würde ich das System neu aufsetzen. Ist 1. generell keine blöde Idee bei solchen Dingen 2. am sichersten & 3. nicht wirklich eine Wissenschaft. Aber davon mal abgesehen können Dialer aus rein technischen Gründen prinzipiell nicht mit DSL funktionieren (ein Dialer wählt eine Telefonnummer an und bei DSL wird der Verbindungsaufbau nicht über eine Telefonnummer hergestellt, sondern über eine Netzwerkverbindung), d.h. solange du keine zusätzliche ISDN Verbindung auf dem Rechner eingerichtet hast (z.B. via ISDN Karte) verursacht dir das Ding zumindest keine Kosten, sondern nur Ärger Eine Art Einstellung "Taskmanagereinstellung" kennst du aber nicht oder? Vielleicht kann man den wieder fixen. Ich werde diesen PC in ca. 3 Woche verkaufen, mit Ausnahme der Festplatte E: (Mp3s und Filme3 ). Das Betriebssystem ist auf C: also sollte das kein Problem sein, der Dialer sitzt ja auf C:. Verständlicherweise habe ich natürlich keine Lust für 3 Wochen nun nochmal extra mein Windows neu aufzusetzen. Edited August 2, 2005 by Wüstenfuchs
King_Of_KingZ 0 Report Posted August 2, 2005 naaj versuchs irgendwie damit auszuhaltne und bevor du verakuft formatieren udn enn frisches win isntall. als beweiß das die kiste rennt wie immer ...
-=GeneralChaos=- 0 Report Posted August 2, 2005 (edited) Eine Art Einstellung "Taskmanagereinstellung" kennst du aber nicht oder? Vielleicht kann man den wieder fixen. Ich werde diesen PC in ca. 3 Woche verkaufen, mit Ausnahme der Festplatte E: (Mp3s und Filme3 ). Das Betriebssystem ist auf C: also sollte das kein Problem sein, der Dialer sitzt ja auf C:. Verständlicherweise habe ich natürlich keine Lust für 3 Wochen nun nochmal extra mein Windows neu aufzusetzen. Guck mal ob dieser Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System in deiner Registry vorhanden ist und wenn ja lösch den dortigen Eintrag "Disable TaskMgr". Das sollte dir dann den Taskmanager wiederbringen. Und nur weil C: die Systemplatte ist und der Dialer/Virus/Trojaner/ was auch immer dort entdeckt wird, heißt das noch lange nicht das er sich nicht auch in anderen Platten einnistet. Wie gesagt i.d.R. ist es in solchen Fällen dringend anzuraten das System komplett neu aufzusetzen, denn auch wenn Tools wie AdAware, Spybot & Co eine infiziertes System "säubern" würde ich nicht auf diese Aussage vertrauen, sondern auf Nummer sicher gehen. Am besten ist es natürlich man stellt sicher das so ein Mist garnicht erst passiert Zudem wenn du eine Festplatte verkaufst auf der du vorher dein System oder auch nur irgendwelche Daten liegen hattest ist es ebenfalls dringend anzuraten selbige vorher mit einem guten Datenshredder zu formatieren, denn sonst ist es für jeden Depp ein leichtes deine Daten wieder herzustellen und sie zu missbrauchen (z.B. deine Registry wieder herzustellen und sich deine CD-Keys zu notieren... nur so als Beispiel) Edit: Tippfehler Edited August 2, 2005 by -=GeneralChaos=-
Wurstfuchs 0 Author Report Posted August 2, 2005 (edited) Zudem wenn du eine Festplatte verkaufst auf der du vorher dein System oder auch nur irgendwelche Daten liegen hattest ist es ebenfalls dringend anzuraten selbige vorher mit einem guten Datenshredder zu formatieren, denn sonst ist es für jeden Depp ein leichtes deine Daten wieder herzustellen und sie zu missbrauchen (z.B. deine Registry wieder herzustellen und sich deine CD-Keys zu notieren... nur so als Beispiel) Edit: Tippfehler Ist mir bewusst Deinen anderen Tipp schaue ich mir jetzt gleich mal an. EDIT Chaos ich will ein Kind von dir Endlich mal ein guter Tipp danke. Jetzt bin ich schonmal einen kleinen Schritt weiter. Edited August 2, 2005 by Wüstenfuchs
-=GeneralChaos=- 0 Report Posted August 2, 2005 Naja aber das Ding bisse damit noch nicht los, hast nur Kontrolle über deinen Taskmanager wieder (wenn das Ding noch da ist wahrscheinlich bis zum nächsten Reboot). Angeblich soll man dat Ding aber mit AdAware oberflächlich los werden, d.h. wenn du dich partout weigerst neu zu installieren würd ichs mal damit versuchen (wenn nicht schon geschehen)
Wurstfuchs 0 Author Report Posted August 3, 2005 Stimmt Adaware habe ich ganz vergessen. Gerade eben die erste Platte mit der aktuellen Version gescannt. Waren 3 Dialerdateien und jede Menge anderer Mist dabei, bin mal gespannt ob das was gebracht hat.
helpme2 0 Report Posted August 6, 2005 Aber davon mal abgesehen können Dialer aus rein technischen Gründen prinzipiell nicht mit DSL funktionieren (ein Dialer wählt eine Telefonnummer an und bei DSL wird der Verbindungsaufbau nicht über eine Telefonnummer hergestellt, sondern über eine Netzwerkverbindung), d.h. solange du keine zusätzliche ISDN Verbindung auf dem Rechner eingerichtet hast (z.B. via ISDN Karte) verursacht dir das Ding zumindest keine Kosten, sondern nur Ärger Das heißt, dass wenn er einen Fix-Betrag im Monat zahlt, dann könen ihm die Dialer nichts oder?? Danke helpme2
XXen 0 Report Posted August 7, 2005 Wenn alles nichts hilft .... Pfad aufschreiben, DOS-Modus und es dadurch gekillt Pfade wechselt man einfach "cd" + Nächster Pfad oder dem kompletten Pfad Löschen einer datei ist schlicht und simple "del" + Dateiname.endung Hat mir schon mehrmals geholfen (vermisst die guten alten DOS Zeiten)
nordlicht 0 Report Posted August 7, 2005 Stimmt Adaware habe ich ganz vergessen. Gerade eben die erste Platte mit der aktuellen Version gescannt. Waren 3 Dialerdateien und jede Menge anderer Mist dabei, bin mal gespannt ob das was gebracht hat. Ansonsten haben R3 - Default URLSearchHook is missing O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} (AcontiX Control) - http://secure.aconti.net/acontix/goodthinxx.cab dort eigentlich nichts zu suchen und sollten mit hijack gefixt werden.´ Die beiden sagen mir nichts, im Zweifelsfall auch die fixen. C:\Programme\Symantec\LiveUpdate\ALUNOTIFY.EXE O4 - Startup: Registration Brothers In Arms.LNK = G:\Support\Register\RegistrationReminder.exe Alles immer im abgesicherten Modus.
Der Papst 0 Report Posted August 21, 2005 (edited) die Antwort auf ALLE Vieren- und ADWare-Probleme: a² Killt sämtliche Vieren, Dialer, ADs,... und ist Freeware Edited August 21, 2005 by Der Papst
