Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: dailer in Movie?? .wmv

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.10.2004, 14:59   #1
Sibille
 
dailer in Movie?? .wmv - Standard

dailer in Movie?? .wmv



Ich habe mir einen dailer eingetreten - wie ich glaube über einen Movie (.wmv).

Hat noch jemand Erfahrung mit einem Movie in Deutschland oder Österreich in dieser Richtung gemacht??

smpP01_full.wmv - Ich glaube das war der Schuldige. Mein Rechner ist bei diesem Movie abgestürzt, und nach einem Neustart hat sich offenbar ein dailer installiert, der ungestört werken konnte, da ich nicht mehr an meinem PC war. Als ich nach ca. 2 Stunden bei meinem PC war, war eine komische Systemmeldung darauf, und ich habe den PC wieder runtergfahren. Nach 1 Monat kam nun die Rechnung über 500,--!

Die Telekom hat mir zwar kommentarlos" eine Gutschrift geschickt, aber vor einigen Tagen kam nun die Rechnung der Firma ATMS in Wien, welche von der Telekom diese Forderung zur freien Verfügung übergeben bekam, und diese nun bei mir einfordert!

Alles was ich dazu fand war das dieses file MSMSGS.EXE-32066BA5.pf genau an diesem Tag geändert wurde, bzw. einige cockies von Seiten genau zu diesem Zeitpunkt, welche ich mit Sicherheit nicht besucht habe.

Wer kann mir helfen, oder hat ähnliche Erfahrungen gemacht??? Oder wer kann mir sagen, wie ich gefahrlos feststellen kann, ob dieser Movie verseucht ist.

Danke
Sibille

Alt 04.10.2004, 15:18   #2
Cidre
Administrator, a.D.
 
dailer in Movie?? .wmv - Standard

dailer in Movie?? .wmv



Hallo,

hier wird dir die weitere Vorgehensweise beschrieben: http://www.dialerschutz.de/home/Gesc...schadigte.html

Wo hast du das Movie her?
Hat dein AV Scanner diesbezüglich was gefunden?

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.
__________________

__________________

Alt 04.10.2004, 16:08   #3
Shadow
/// Mr. Schatten
 
dailer in Movie?? .wmv - Standard

dailer in Movie?? .wmv



Zitat:
Zitat von Sibille
wie ich gefahrlos feststellen kann, ob dieser Movie verseucht ist.
Auf einen sauberen PC ohne Internetanschluß kopieren, abspielen und schauen was passiert ;-)
AFAIK kann in einem WMV kein Dialer versteckt sein, sehr viel wahrscheinlicher ist, dass von der Quelle dieses Filmchens ein Dialer (nicht Dailer) sich gleich mitinstalliert hat.
__________________
__________________

Alt 04.10.2004, 21:18   #4
Sibille
 
dailer in Movie?? .wmv - Standard

dailer in Movie?? .wmv



Hallo Cidre,

da das Ganze im Mai stattgefunden hat, weiß ich leider nicht mehr genau woher ich den Movie habe.

Hier nun mein HijackThis log:

Logfile of HijackThis v1.98.2
Scan saved at 22:09:10, on 04.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\PROMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\IKAutoUp.exe
C:\WINDOWS\System32\vpc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Babylon\Babylon.exe
C:\Programme\Common\Bin\WinCinemaMgr.exe
C:\ikarus\GUARDNT\GUARDNT.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\VNC\WinVNC.exe
C:\Programme\UltraEdit\UEDIT32.EXE
C:\Programme\FTPVoyager\FTPVoyager.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\System32\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [Guard NT] C:\ikarus\GUARDNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//paxan/main.chm::/load.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096572048140
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lan29
O17 - HKLM\Software\..\Telephony: DomainName = lan29
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA2F0EF8-832A-4FE8-90B0-679FDFA718DF}: NameServer = 10.18.11.1,213.164.0.1


Bei 016 wirds ja glaube ich spannend...
Danke für deine Hilfe!!
Lieben Gruß
Sibille

Alt 04.10.2004, 22:17   #5
Sibille
 
dailer in Movie?? .wmv - Standard

dailer in Movie?? .wmv



Mittlerweile habe ich in

Windows/Downloaded Program Files folgendes gefunden:

Die Programmdatei {10000000-1000-0000-1000-000000000000}
Status unbekannt
Gesamtgröße/Erstellungsdatum/Letzter Zugriff - keine
Version 0,0,0,1

Somit habe ich wieder das Problem das ich nicht beweisen kann, wann diese Datei installiert wurde. Oder gibt es dafür eine Möglichkeit?


Alt 04.10.2004, 23:32   #6
MountainKing
 
dailer in Movie?? .wmv - Standard

dailer in Movie?? .wmv



Das sicherheitstechnisch größere Problem liegt hier:


O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe


Dabei handelt es sich um eine Variante des Rbot-Trojaners:

http://www3.ca.com/securityadvisor/v....aspx?id=39437

Das bedeutet leider, dass sich dein PC in fremder Hand befindet oder befinden kann und das ein Angreifer sehr viele Möglichkeiten zur Nutzung deines Systems hat.

http://oschad.de/wiki/index.php/Kompromittierung

Der Dialer könnte eine Folge davon sein, muss aber nicht, da du ihn dir natürlich auch separat geholt haben kannst. Sicher ist nur, dass du deinem System nicht mehr vertrauen kannst und eigentlich am besten neu installieren solltest, denn dann kannst du sicher sein, dass der Rechner zunächst sauber ist und du davon ausgehend dann die wichtigen Dinge zur Absicherung umsetzt:


1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) keine alten Passworte wiederverwenden, sondern alle neu anlegen

Diese Datei:

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//paxan/main.chm::/load.exe

solltest du auf jeden Fall sichern, eventuell auch diese vpc32.exe, da sie ja eigentlich beweist, dass die Fernsteuerung deines Rechners möglich war. Ich fürchte allerdings, dass sich genaue Infizierungsdaten nicht mehr wirklich feststellen lassen werden.

Alt 06.10.2004, 19:16   #7
Sibille
 
dailer in Movie?? .wmv - Standard

dailer in Movie?? .wmv



Hallo,

vielen Dank für deine Hilfe.

Da ich eine "alte" Spürnase bin habe ich ihn jetzt auch definitiv gefunden. Und es ist herrlich, er ist tatsächlich am 23.5., genau um 12.27 (als wo der dailer start losging) installiert worden.

Er heisst d2kpax.exe und war direkt in meinem system 32

Die Arbeit mit dem neu aufsetzen und so weiter ist zwar weniger lustig, aber ich werde mich genau an deine Anweisungen halten, damit es mich diesmal nicht mehr erwischt ;-))

Lieben Gruß
Sibille

Antwort

Themen zu dailer in Movie?? .wmv
besuch, besucht, dailer, deutschland, erfahrung, erfahrungen, file, firma, fordert, geändert, helfen, installiert, komische, meinem, neustart, nicht mehr, rechner, rechnung, seite, seiten, sicherheit, stelle, stunden, telekom, verseucht, übergeben, Österreich




Ähnliche Themen: dailer in Movie?? .wmv


  1. Windows Live Movie Makter Crash
    Plagegeister aller Art und deren Bekämpfung - 10.11.2015 (10)
  2. Movie wizard und Werbebanner entfernen
    Log-Analyse und Auswertung - 20.01.2015 (31)
  3. Movie Wizard entfernen
    Plagegeister aller Art und deren Bekämpfung - 08.01.2015 (11)
  4. Movie Master entfernen
    Anleitungen, FAQs & Links - 25.06.2014 (2)
  5. Windows Live Movie Maker (Installationsproblem)
    Alles rund um Windows - 24.11.2013 (3)
  6. Movie maker defekt?
    Plagegeister aller Art und deren Bekämpfung - 04.06.2009 (2)
  7. Windows Movie Maker ALTERNATIVEN
    Alles rund um Windows - 15.01.2008 (3)
  8. Dailer ?
    Plagegeister aller Art und deren Bekämpfung - 16.12.2007 (13)
  9. Dailer Webrebates auf PC
    Log-Analyse und Auswertung - 08.12.2006 (3)
  10. Windows Movie Maker SPINNT
    Alles rund um Windows - 01.03.2006 (3)
  11. Antivir hat Java/Dldr.Movie.A gefunden
    Log-Analyse und Auswertung - 24.02.2006 (8)
  12. Virenmeldunhg JAVA/Dldr.Movie.A
    Plagegeister aller Art und deren Bekämpfung - 28.09.2005 (1)
  13. Hilfe Dailer !!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
    Plagegeister aller Art und deren Bekämpfung - 03.03.2005 (1)
  14. Dailer (selbstzerstörend) und Trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (1)
  15. Websiteviewer - Dailer
    Log-Analyse und Auswertung - 16.10.2004 (1)
  16. TDSL + Router + Dailer = ???
    Plagegeister aller Art und deren Bekämpfung - 25.09.2003 (3)
  17. hab seit 20 min nen dailer^^
    Plagegeister aller Art und deren Bekämpfung - 13.08.2003 (5)

Zum Thema dailer in Movie?? .wmv - Ich habe mir einen dailer eingetreten - wie ich glaube über einen Movie (.wmv). Hat noch jemand Erfahrung mit einem Movie in Deutschland oder Österreich in dieser Richtung gemacht?? smpP01_full.wmv - dailer in Movie?? .wmv...
Archiv
Du betrachtest: dailer in Movie?? .wmv auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.