Hi Leute, ich habe heute beim surfen festgestellt, dass sich mein modem mehrmals von allein die internetverbindung getrennt hat. hat daraufhin diesen dialer in meinen dfü verbindungen entdeckt

http://nilsgriga.na.ohost.de//Dialer/

Die Datei sssasas.exe habe ich gelöscht und den schlüssel aus der registry gelöscht. Liegt da noch mehr im Argen? die fxdialer32.exe habe ich durch zufall in C:\DOKUME~1\TERRYB~1\LOKALE~1\Temp\ gefunden. hoffe da kommt nichts nach, bin gerade mit meinem notebook in sydney für 6 monate und bin über ein 56k über die telefonleitung drinne... ich weiss allerdings nicht ob sich der dialer überhaupt eingewählt hat, ich achte immer auf die nummer wenn ich mich einwähle die war stets richtig, kann das umgangen werden?


daraufhin habe ich einen escan durchgeführt (allerdings nur den windows ordner und das hier gefunden:

File C:\WINDOWS\svchst.exe infected by "Backdoor.Win32.Webdor.l" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\TERRYB~1\LOKALE~1\Temp\msmsgr.exe infected by "Backdoor.Win32.Webdor.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\svchst.exe infected by "Backdoor.Win32.Webdor.l" Virus. Action Taken: No Action Taken.

die dateien: http://nilsgriga.na.ohost.de//Viren

Die Dateien svchst.exe und msmsgr.exe habe ich entfernt. muss ich nochmehr beachten?

eben erstellte log:
Logfile of HijackThis v1.97.7
Scan saved at 23:40:45, on 17.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DAP\DAP.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\AVPersonal\UPDATE\antivir_workstation_win_de_h.exe
C:\DOKUME~1\TERRYB~1\LOKALE~1\Temp\WZSE0.TMP\disk_1\setup.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\Terry book\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by OptusNet
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://xxxtgp.ath.cx/loud.chm::/bridge-c32.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095159910332
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2EA954D-3E84-4C97-A1E6-2A6A08E7A8E8}: NameServer = 203.2.75.132 198.142.0.51

mein tolles antivir mit dialer funktion blabla hat nix von dem ganzen scheiss mitbekommen...

na denn würde mich über hilfe freuen, mfg und thx

terry

Hi

Da du einen Backdoortrojaner drauf hast hilft nur eins Format c:
Bitte nach der anleitung von

Cidre

kann ich denn davon ausgehen, dass es sich bei dem Backdoor.Win32.Webdor.l ebenfalls um den dialer handelt, oder haben die beiden gatnix miteinander zu tun? es geht mir in erster linie darum ob ich befuerchten muss, dass kosten angefallen sind...

kann sich vielliecht jemand der sich damit auskennt die dateien mal anschauen und mir was dazu sagen?

waere echt dankbar...

(format c: eruebrigt sich, da ich in sydney bin, das mein alter laptop ist und eh kein betriebssystem dabei habe)

Zitat:

kann ich denn davon ausgehen, dass es sich bei dem Backdoor.Win32.Webdor.l ebenfalls um den dialer handelt, oder haben die beiden gatnix miteinander zu tun? es geht mir in erster linie darum ob ich befuerchten muss, dass kosten angefallen sind...

Nein würde ich nicht sagen. Eine Backdoor ermöglicht es aber anderen mit deinem Computer zu machen was sie wollen!

Ob kosten angefallen sind kann ich nicht sagen ...einfach mal beim Provider anrufen und Fragen.

Den Dailer am besten auf diskette oder so als beweiß sichern, den wenn kosten angefallen sind würde ich wiederspruch einlegen!

wenn du mal ein bischen googelst findest du mehr zu dem thema.

alles klar, vielen dank fuer die hilfe, ich konnte hier bei dem australischen provider ueber die homepage die daten einsehen, wie ich wann ueber deren verbindung online war, so kann ich denke ich ausschliessen, dass kosten angefallen sind, da ich erst wenige male online war und das so in etwa hinkommt mit den angegeben verbindungen.

wenn ich wieder in DE bin ist das erste was ich mache, den rechner komplett neu aufzusetzen, an meinem desktop pc habe ich auch alles konfiguriert, nur beim notebook war ich zu faul...

aus fehlern lernt man.

vielen dank an zero.

thx und mfg

terry