Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: hijacked? dialer? BITTE HELFEN!!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.06.2004, 08:37   #1
0checker
 
hijacked? dialer? BITTE HELFEN!! - Unglücklich

hijacked? dialer? BITTE HELFEN!!



hallo,

ich hab seit heute plötzlich immer wieder ein popup (das allerdings immer doppelt aufgeht) mit einem dialertext und einer 0190er nummer und da steht dann immer ich soll bestätigen, dass ich den kostenpflichtigen sexdienst nutzen will o.ä. schliessen geht nur über taskmgr als prozesse werden "edb.exe" und "ebony.exe" angegeben. wenn ich den abschiesse gehts auch weg.

habe dann spybot und adaware drüberlaufen lassen und herausgefunden, dass der zielordner
"C:\Programme\Carpe Diem" ist. in diesem order befinden sich eine "CDUpdater.exe", eine "ebony.exe" und eine "ebony.ico" datei wenn ich den ordner lösche und danach mein system mit windowwasher aufräume kommt trotzdem wieder nach kurzer zeit das popup und der ordner ist wieder da...

meine startseite wird auch geändert und sobald diese edb.exe und ebony.exe laufen bin ich auf allen foren und communities die ich offen habe nicht mehr angemeldet!!!

hier mein hijack logfile:

Logfile of HijackThis v1.97.7
Scan saved at 09:26:46, on 21.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\deamon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programme\NetCaptor\NetCaptor.exe
C:\Dokumente und Einstellungen\Leo\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.50.191.139/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.139/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.139/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.50.191.139/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.139/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.50.191.139/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://69.50.191.139/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.139/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.139/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.139/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.50.191.139/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.50.191.139/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.139/search.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.50.191.139/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.50.191.139/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ikotxbf.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKLM\..\Run: [cpl] C:\WINDOWS\deamon.exe /i
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {D3A7982E-915D-4589-8ECE-249F70D0C941} (Launch Control) - http://aaotracker.4players.de/LaunchGame.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C808850-5DC1-4488-BA9E-794B90D02EC5}: NameServer = 217.237.151.97 194.25.2.129


wäre super wenn mir wer helfen könnte!

mfg,


leo
__________________
:stop thinking:

Alt 21.06.2004, 17:30   #2
mmk
 
hijacked? dialer? BITTE HELFEN!! - Beitrag

hijacked? dialer? BITTE HELFEN!!



Hallo!

Wie gehst du ins Internet? ISDN? Analog? Oder DSL? Nur bei letzterem und ohne Verbindungsmöglichkeit für die beiden erstgenannten, brauchst du dir keine Sorgen machen, dass sich ein Dialer einwaählen konnte. Ansonsten leider schon. Dann solltest du etaig auffindbare Dialer sichern (kopieren in einen Quarantäneordner), dann den aktiven löschen.

Such auch mal nach dieser Datei (C:\WINDOWS\deamon.exe) und sichere sie. Prüf sie hier: http://www.kaspersky.com/de/scanforvirus


Alle IE- und Explorer-Fenster schließen, dann in HijackThis die folgenden Einträge markieren und "Fix Checked" wählen:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h+tp://69.50.191.139/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h+tp://69.50.191.139/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h+tp://69.50.191.139/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h+tp://69.50.191.139/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h+tp://69.50.191.139/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h+tp://69.50.191.139/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = h+tp://69.50.191.139/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h+tp://69.50.191.139/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h+tp://69.50.191.139/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h+tp://69.50.191.139/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h+tp://69.50.191.139/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h+tp://69.50.191.139/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h+tp://69.50.191.139/search.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = h+tp://69.50.191.139/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = h+tp://69.50.191.139/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = h+tp://www.sharempeg.com/find/
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ikotxbf.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
__________________

__________________

Antwort

Themen zu hijacked? dialer? BITTE HELFEN!!
adobe, asus, bho, dateien, desktop, einstellungen, excel, explorer, foren, hijack, hijack logfile, hijackthis, icq, immer wieder, internet, internet explorer, launch, logfile, microsoft, object, popup, programme, prozesse, shockwave, software, super, system, tcpip, trend micro, urlsearchhook, windows, windows xp, winupd



Ähnliche Themen: hijacked? dialer? BITTE HELFEN!!


  1. Hijacked
    Log-Analyse und Auswertung - 23.09.2009 (2)
  2. Infiziert? Bitte bitte helfen?
    Log-Analyse und Auswertung - 09.04.2009 (1)
  3. Bitte Helfen!
    Log-Analyse und Auswertung - 04.04.2009 (0)
  4. Browser Hijacked
    Log-Analyse und Auswertung - 07.09.2008 (0)
  5. dialer instant acces gefunde bitte um hilfe
    Log-Analyse und Auswertung - 14.03.2008 (0)
  6. Trojaner win32.dialer.qn bitte LOG ansehen, danke
    Log-Analyse und Auswertung - 05.11.2007 (3)
  7. Bitte helfen
    Mülltonne - 14.01.2007 (0)
  8. bitte helfen
    Log-Analyse und Auswertung - 30.05.2006 (4)
  9. Hijacked Internet Access - Helft mir, bitte!
    Log-Analyse und Auswertung - 22.05.2006 (2)
  10. Hilfe ! Dialer oder nicht Dialer ?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2006 (1)
  11. Bitte helfen
    Log-Analyse und Auswertung - 03.01.2006 (1)
  12. First Homepage? Hijacked???
    Log-Analyse und Auswertung - 12.06.2005 (2)
  13. Log, Log ... bitte helfen!
    Log-Analyse und Auswertung - 19.05.2005 (0)
  14. Browser hijacked
    Log-Analyse und Auswertung - 08.05.2005 (1)
  15. Bitte mal helfen...
    Log-Analyse und Auswertung - 26.03.2005 (3)
  16. zipzappromos - dialer? virus? - Bitte Hilfe
    Plagegeister aller Art und deren Bekämpfung - 25.03.2005 (4)
  17. Bitte um Hilfe,bekomme den Dialer nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 31.08.2004 (1)

Zum Thema hijacked? dialer? BITTE HELFEN!! - hallo, ich hab seit heute plötzlich immer wieder ein popup (das allerdings immer doppelt aufgeht) mit einem dialertext und einer 0190er nummer und da steht dann immer ich soll bestätigen, - hijacked? dialer? BITTE HELFEN!!...
Archiv
Du betrachtest: hijacked? dialer? BITTE HELFEN!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.