Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: dialer.22.AQ routenplaner[rai-10074,de].exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.04.2006, 18:15   #1
philau
 
dialer.22.AQ routenplaner[rai-10074,de].exe - Standard

dialer.22.AQ routenplaner[rai-10074,de].exe



hi - ich bitte um support,
habe XP SP2 - AVG meldet diesen Filename unter dem path C:\windows\
danach habe ich gesucht mit routenpl*.* incl. versteckte Dateien - und habe nichts gefunden - heisst das, dass ich diese exe im virus vault löschen kann ? und alles ist ok ?

Alt 23.04.2006, 18:27   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
dialer.22.AQ routenplaner[rai-10074,de].exe - Standard

dialer.22.AQ routenplaner[rai-10074,de].exe



Poste ein Logfile von Hijackthis, siehe Anleitung in meiner Signatur.
__________________

__________________

Alt 23.04.2006, 18:39   #3
philau
 
dialer.22.AQ routenplaner[rai-10074,de].exe - Standard

dialer.22.AQ routenplaner[rai-10074,de].exe



puh - das habe ich befürchtet - ich muss mich da jetzt erst mal durchackern - log folgt
Danke und Gruss aus Hessen
__________________

Alt 23.04.2006, 19:02   #4
philau
 
dialer.22.AQ routenplaner[rai-10074,de].exe - Standard

dialer.22.AQ routenplaner[rai-10074,de].exe



und hier kommt das logfile

Logfile of HijackThis v1.99.1
Scan saved at 18:49:05, on 23.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\WINDOWS\FSScrCtl.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/j6_bOdXJ2LiKR2KYUHSJ9wn/login/login.jsp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Net] C:\WINDOWS\winlogon.exe -stealth
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: Hardcopy.LNK = C:\hardcopy\hardcopy.exe
O4 - Startup: Screen Saver Control.lnk = C:\WINDOWS\FSScrCtl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Gigaset Netzwerk Konfiguration.lnk = C:\Programme\Symphony\maestro.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2333f664150bdc9a0517/netzip/RdxIE601_de.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.de/vod/dmd/WMDownload.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{770E113B-1427-4805-86D3-962488096AFC}: NameServer = 195.50.140.178 195.50.140.114
O20 - Winlogon Notify: switcher - C:\WINDOWS\SYSTEM32\sw_note.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

Alt 23.04.2006, 19:51   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
dialer.22.AQ routenplaner[rai-10074,de].exe - Standard

dialer.22.AQ routenplaner[rai-10074,de].exe



Zitat:
C:\WINDOWS\winlogon.exe
C:\WINDOWS\SYSTEM32\sw_note.dll
Diese Dateien auswerten lassen, bei Jotti, Kaspersky oder Virustotal (Link siehe Signatur von mir). Poste die Ergebnisse.

__________________
Logs bitte immer in CODE-Tags posten

Alt 23.04.2006, 20:42   #6
philau
 
dialer.22.AQ routenplaner[rai-10074,de].exe - Standard

dialer.22.AQ routenplaner[rai-10074,de].exe



ich habe den check mit Kaspersky gemacht

\SYSTEM32\sw_note.dll = ok
\I386\ = ok
\SYSTEM32\ = ok
\ServicePackFiles\i386\ = ok

ist mein System somit clean ??

vielen Dank und Gruesse

Alt 23.04.2006, 21:02   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
dialer.22.AQ routenplaner[rai-10074,de].exe - Standard

dialer.22.AQ routenplaner[rai-10074,de].exe



Zitat:
C:\WINDOWS\winlogon.exe
Die solltest Du auch auswerten!
__________________
Logs bitte immer in CODE-Tags posten

Alt 23.04.2006, 21:05   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
dialer.22.AQ routenplaner[rai-10074,de].exe - Standard

dialer.22.AQ routenplaner[rai-10074,de].exe



Mach mal am besten einen Komplettcheck des System => http://kaspersky.com/virusscanner
Link mit dem IE öffnen und auf dem Button "Kaspersky Online Scanner" klicken...

Poste die gefundenen Schädlinge...
__________________
Logs bitte immer in CODE-Tags posten

Alt 23.04.2006, 22:41   #9
philau
 
dialer.22.AQ routenplaner[rai-10074,de].exe - Standard

dialer.22.AQ routenplaner[rai-10074,de].exe



na klasse - und eine mail von einem 'eigentlich' sicheren Absender ? wie kann das angehen ? also hat AVG 'keinen Tauch' ?

ich bitte nochmals um Hilfe >> und was jetzt ?

danke und Gruesse

hier der report von Kaspersky

C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Temp\CCE.tmp/[From NAME][Date Tue, 2 Mar 15:58:57 +0100]/your_archive.pif Infected: Email-Worm.Win32.NetSky.d skipped

C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Temp\CCE.tmp Mail: infected - 1 skipped

C:\WINDOWS\freegameshq.exe Infected: not-a-virusialer.Win32.gen skipped

C:\WINDOWS\gportal.exe Infected: not-a-virusialer.Win32.gen skipped

C:\WINDOWS\ich-koche-ike-10114.exe Infected: not-a-virus:Porn-Dialer.Win32.Star skipped

Alt 24.04.2006, 00:21   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
dialer.22.AQ routenplaner[rai-10074,de].exe - Standard

dialer.22.AQ routenplaner[rai-10074,de].exe



Zitat:
na klasse - und eine mail von einem 'eigentlich' sicheren Absender ? wie kann das angehen ? also hat AVG 'keinen Tauch' ?


Zitat:
C:\WINDOWS\freegameshq.exe Infected: not-a-virusialer.Win32.gen skipped
C:\WINDOWS\gportal.exe Infected: not-a-virusialer.Win32.gen skipped
C:\WINDOWS\ich-koche-ike-10114.exe Infected: not-a-virus:Porn-Dialer.Win32.Star skipped
Malware sollte man löschen, aber hier handelt es sich um Dialer. Wenn Du noch ein Modem bzw. ISDN-Karte hast, solltest Du diese Dinger zwecks Beweissicherung auf Diskette oder so sichern. Hast Du DSL und weder Modem noch eine ISDN-Karte im Rechner eingebaut/angeschlossen kannst Du die Dialer löschen.

Zitat:
C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Temp\CCE.tmp/[From NAME][Date Tue, 2 Mar 15:58:57 +0100]/your_archive.pif Infected: Email-Worm.Win32.NetSky.d skipped
C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Temp\CCE.tmp Mail: infected - 1 skipped
Löschen.

Hast Du die Datei C:\WINDOWS\winlogon.exe noch? Wenn ja, dann sende Dir mir bitte mal per Mail, Datei bitte in ein Archiv packen und mit einem Passwort versehen. PW bitte in den Body der Mail schreiben.
Mail an cosinus
__________________
Logs bitte immer in CODE-Tags posten

Alt 24.04.2006, 01:15   #11
philau
 
dialer.22.AQ routenplaner[rai-10074,de].exe - Standard

dialer.22.AQ routenplaner[rai-10074,de].exe



erst einmal vielen, vielen Dank für Deine Mühe !!! bin echt begeistert !!!

- die Symbole kenne ich nicht - bin kein freak

- malware gelöscht :-) ich bin mit DSL unterwegs :-) mich würde allerdings interessieren, warum ich für eine Beweissicherung ? kopieren soll wenn nicht ?

- die beiden anderen -ächz- finde ich partout nicht - weiss nicht weiter

- uuuund >> "Hast Du die Datei C:\WINDOWS\winlogon.exe noch?"
würde ich Dir ja gerne schicken - aber ??

Ich werde morgen 'weiterackern' - jetzt geht nix mehr :-)

Antwort

Themen zu dialer.22.AQ routenplaner[rai-10074,de].exe
avg, c:\windows, dateien, exe, file, filename, gefunde, gesuch, gesucht, heiss, löschen, melde, meldet, nichts, sp2, support, vault, versteckte, versteckte dateien, virus, virus vault, windows



Ähnliche Themen: dialer.22.AQ routenplaner[rai-10074,de].exe


  1. i-Dialer + Log
    Log-Analyse und Auswertung - 05.01.2007 (7)
  2. wo ist der dialer????
    Log-Analyse und Auswertung - 09.07.2006 (17)
  3. Hilfe ! Dialer oder nicht Dialer ?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2006 (1)
  4. *hit dialer...
    Plagegeister aller Art und deren Bekämpfung - 21.03.2006 (10)
  5. tr/dialer.iz.1
    Plagegeister aller Art und deren Bekämpfung - 03.01.2006 (17)
  6. tr/dialer.ay.6
    Plagegeister aller Art und deren Bekämpfung - 28.12.2005 (1)
  7. TR/Dialer.AY.6
    Plagegeister aller Art und deren Bekämpfung - 15.12.2005 (4)
  8. dialer
    Plagegeister aller Art und deren Bekämpfung - 17.05.2005 (1)
  9. Dialer
    Plagegeister aller Art und deren Bekämpfung - 27.02.2005 (2)
  10. Dialer !!!
    Plagegeister aller Art und deren Bekämpfung - 17.01.2005 (1)
  11. dialer?
    Log-Analyse und Auswertung - 09.12.2004 (4)
  12. Kav und Dialer
    Antiviren-, Firewall- und andere Schutzprogramme - 13.09.2003 (2)
  13. IBS-Dialer
    Plagegeister aller Art und deren Bekämpfung - 15.07.2003 (3)
  14. IBI TEC (Dialer)
    Plagegeister aller Art und deren Bekämpfung - 14.07.2003 (1)
  15. Was für ein Dialer???
    Plagegeister aller Art und deren Bekämpfung - 06.07.2003 (3)
  16. Dialer???
    Plagegeister aller Art und deren Bekämpfung - 21.02.2003 (4)

Zum Thema dialer.22.AQ routenplaner[rai-10074,de].exe - hi - ich bitte um support, habe XP SP2 - AVG meldet diesen Filename unter dem path C:\windows\ danach habe ich gesucht mit routenpl*.* incl. versteckte Dateien - und habe - dialer.22.AQ routenplaner[rai-10074,de].exe...
Archiv
Du betrachtest: dialer.22.AQ routenplaner[rai-10074,de].exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.