Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.11.2004, 21:49   #1
Ichbringihnum
 
Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg! - Standard

Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!



Hi, Leute,

hab folgendes Problem: hab mir anscheinend einen Dialer eingefangen mit o.g. Nummer. Auf jeden Fall hat er meine DSL-Einwahl „0“ damit überschrieben und macht dies auch bei jedem Neustart wieder. Des weiteren verändert er meine Sicherheitsoptionen der DFÜ-Verbindung von typisch auf benutzerdefiniert - ohne Verschlüsselung. Wenn ich versuche mich über die 0 einzuwählen fliege ich sofort wieder raus oder krieg gar keine Verbindung. Habe mittlerweile herausgefunden, dass es sich wahrscheinlich um eine italienische Dialer-Einwahl handelt (wenn ich wenigstens italienisch könnte....). Wg. DSL ohne Modem, ISDN-Card, etc. ist das ja erst mal nicht so dramatisch, aber der kleine Drecksack hat mir anscheinend mindestens noch einen download.trojan und evtl. noch ein paar andere Tierchen mitgebracht. Hab einiges unternommen um alles verdächtige los zu werden.

Spybot, AntiVir, Ad-Aware, Trojan remover finden nix mehr – aber der symantec online scanner findet immer noch einen download.trojan und zwar in C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y7EX2TYZ\game4[1].exe. Das dumme ist nur das der Ordner Content.IE5, der subfolder und die Datei nicht existiert (oder zumindest nicht sichtbar sind (versteckte, Systemdateien etc. sind on)).

Dazu ist die verfluchte Nummer immer noch da. Da ich logischerweise vermeiden will, dass das Stinktier im Hintergrund Sauereien macht von denen ich nix weiß, bitte dringend um Hilfe, mir fällt nix mehr ein wie ich den Kram wieder loswerde.

Win2k
cfos DSL
1&1 DSL
Verbindung über DFÜ-Netzwerk

Anbei die log von hijackthis.

Danke Euch im Voraus für alle Hilfe

Alt 16.11.2004, 21:53   #2
cacatoa
 
Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg! - Standard

Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!



Hi,
erstens lade dir mal clearprog 1.4.0 final runter, sezte alle Häkchen bei IE und Windows und drücke "löschen". Dann sind die temp.Internet-files und der cont.IE5 leer.
Dann poste ein HJT-Log per copy und paste hier rein. (Nicht als angehängte Datei).
__________________

__________________

Alt 17.11.2004, 12:13   #3
Ichbringihnum
 
Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg! - Standard

Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!



Hi, Cacatoa,

erstmal vielen Dank für Deine prompte Antwort und die Unterstützung. Habe gestern noch einiges ohne Erfolg versucht - Antwort daher erst jetzt.

Habe Deine Tips befolgt - thx - auch der symantec hat jetzt nichts mehr gefunden. Ist schon mal ein Riesenschritt.

Leider ist die Sache aber noch nicht ganz astrein.

1. Die Nummer ist immer noch da - Einwahlversuche über die 0 bewirken einen einmaligen Seitenaufbau und anschließenden sofortigen Rauswurf. Werde das Gefühl nicht los, daß sich da im Hintergrund was tut.

2. Nach Löschen aller Dateien, Setzen aller Einstellungen der DFÜ auf die ursprünglichen Werte und sofortigem Neustart meldet mir YAW eine neue Anwendung, die sich evtl. einwählen könnte, und zwar C:\WinNt\system 32\wbem\winmgmt.exe. winmgmt wohlgemerkt mit kleinem m in der Mitte. Habe ein bißchen gestöbert - glaube erfahren zu haben, das sich damit evtl. unerwünschte ports öffnen lassen.

Wenn Du oder sonst wer noch was weißt - bin weiterhin für alles dankbar

Hier nochmals die hjt nach Bereinigung mit ClearProg:

Logfile of HijackThis v1.98.2
Scan saved at 11:50:35, on 17.11.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
i:\Programme\AVPersonal\AVGUARD.EXE
i:\Programme\AVPersonal\AVWUPSRV.EXE
i:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
I:\Programme\NEOLEC\Neolec Crystal Mouse\MOUSE32A.EXE
I:\Programme\NEOLEC\Neolec Wireless Desktop\KbdAp32A.exe
I:\progra~1\scansoft\paperp~1\pptd40nt.exe
C:\WINNT\system32\kxmixer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
I:\Programme\QuickTime\qttask.exe
C:\WINNT\wavdriver.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
I:\Programme\AVPersonal\AVGNT.EXE
I:\Programme\a2\a2guard.exe
I:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
I:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
I:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\system32\MAPISP32.EXE
E:\Downloads\tools\Anti-Spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - I:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll__SpybotSDDisabled (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - I:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LWBMOUSE] I:\Programme\NEOLEC\Neolec Crystal Mouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] I:\Programme\NEOLEC\Neolec Wireless Desktop\KbdAp32A.exe
O4 - HKLM\..\Run: [PaperPort PTD] i:\progra~1\scansoft\paperp~1\pptd40nt.exe
O4 - HKLM\..\Run: [kX Mixer] kxmixer --startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [wavdriver] "C:\WINNT\wavdriver.exe"
O4 - HKLM\..\Run: [TrojanScanner] i:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [AVGCtrl] I:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [YAW starten] "i:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [a-squared] "i:\Programme\a2\a2guard.exe"
O4 - Global Startup: Acrobat Assistant.lnk = I:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Office-Start.lnk = I:\Programme\Microsoft Office\Office\OSA.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www2.alfaromeo.de/obs/include...e/MSSurVid.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C79CC6E2-A3CB-4500-85FB-650B5DBD14F4} (bilderservice.de Standard-Upload) - http://upload.bilderservice.de/scripts/ieupload.cab
__________________

Alt 17.11.2004, 15:19   #4
Ichbringihnum
 
Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg! - Standard

Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!



Ich nochmal.

Habe die Sache jetzt einigermaßen im Griff, denke ich. Kein bekannter scanner findet mehr irgendwo ein Pferdchen.

Die 0 meiner DFÜ ist zwar immer noch blockiert und wird bei jedem Systemstart von besagter Nummer überschrieben, kann mich aber über jede andere Nummer einwählen, die dann auch dauerhaft bestehen bleibt.

Würde mich ja schon interessieren wo sich das Mistding eingenistet hat, aber ich denke ich bin so einigermaßen sicher ......(?)

Thanks for the help

greetz


Surf safe

Alt 17.11.2004, 17:53   #5
Shadowdance
 
Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg! - Standard

Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!



@ Ichbringihnum,

versuch's mal mit dem eScan - laut Anweisung, bitte gut durchlesen. Dann das Ergebnis hier posten: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

SD


Alt 18.11.2004, 10:28   #6
Ichbringihnum
 
Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg! - Standard

Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!



Hi, Shadowdance,

wie gesagt, auch eScan findet nix mehr. Denke ich bin trojan-free.

Bleibt noch die blöde Nummer - aber die kann ich ja mittlerweile umgehen.
Hoffe und glaube mal, daß damit kein risiko mehr verbunden ist.
Wenn ich auch zu gern wüßte wo die Ratte sitzt.

Thx anayway.


Was wäre Microsoft ohne Foren?

Alt 18.11.2004, 10:33   #7
ZERO
 
Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg! - Standard

Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!



Hallo Ichbringihnum

Hast du mal versucht die DFÜ verbindug zu löschen und ne neue eizurichten?

Hast du Adsl oder DSL über ISDN wenn du es über isdn hast dann kann sich der dialer trotzdem einwählen!
__________________
MFG ZERO

Gelten für Trojaner die Genfer Konventionen?

Alt 18.11.2004, 15:03   #8
Ichbringihnum
 
Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg! - Standard

Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!



@zero: Klar hab ich. Mehrfach sogar, inkl. Treiberentfernung und Neuinst.
Erfolg = zero.

Ist ne ADSL-Leitung. Was verstehst Du denn unter DSL über ISDN?

Alle Einlog-Versuche sind bei meinem Provider protokolliert, da ist wohl nix passiert.

Alt 18.11.2004, 18:24   #9
Ichbringihnum
 
Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg! - Standard

Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!



Gekillt !!!!!!!

Wollte Euch nochmal informieren:

Bin jetzt auch noch die -Nummer wieder los !

Und hier sitzt das kleine Stinktier:

O4 - HKLM\..\Run: [wavdriver] "C:\WINNT\wavdriver.exe"

Alle registry-Einträge und die Datei löschen - wech.

Falls Euch das Ding also nochmal begegnet - ihr wißt Bescheid.

Nochmals Dank an alle für die Unterstützung. :aplaus:

Alt 18.11.2004, 18:34   #10
Shadowdance
 
Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg! - Standard

Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!



Zitat:
Zitat von Ichbringihnum
Gekillt !!!!!!!

O4 - HKLM\..\Run: [wavdriver] "C:\WINNT\wavdriver.exe"

Alle registry-Einträge und die Datei löschen - wech.
danke für die Auskunft!

Weisst Du welcher Virus es ist? Und wie hast Du ihn gefunden?

SD

Alt 20.11.2004, 12:17   #11
Ichbringihnum
 
Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg! - Standard

Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!



@shadowdance: Ich kanns nicht genau sagen. Die wavdriver ist in jedem Fall der dialer. Und der bringt ziemlich sicher einen download.trojan mit, der dann seiner hinterhältigen Aufgabe nachkommt.
Das ganze erschien mir suspekt, da beim googlen 0 ergebnisse für die wavdriver.exe rauskamen. Hab dann noch nen Tip bekommen. Wie gesagt: Kein frei verfügbarer scanner erkennt in dem Ding eine malware. Lediglich der Datei-online scan von http://virusscan.jotti.org/de findet das Ding "verdächtig".


Keep going.

Antwort

Themen zu Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!
ad-aware, antivir, content.ie5, datei, dialer, dringend, einstellungen, folge, handel, hijack, hilfe, hintergrund, internet, kleine, leute, modem, neustart, nicht mehr, nicht sichtbar, online, ordner, problem, remover, scan, scanner, sicherheitsoptionen, symantec, systemdateien, unter, versteckte



Ähnliche Themen: Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!


  1. Websites nicht mehr erreichbar beim 'Download' von Daten
    Log-Analyse und Auswertung - 14.11.2014 (11)
  2. Nach Download, Firefox geht nicht mehr, Explorer läuft nicht richtig
    Log-Analyse und Auswertung - 27.03.2014 (11)
  3. aartemis.com Startseite - krieg ich nicht mehr los!
    Plagegeister aller Art und deren Bekämpfung - 30.12.2013 (5)
  4. aartemis.com Startseite - krieg ich nicht mehr los!
    Alles rund um Windows - 25.12.2013 (1)
  5. Trojan.GenericKD.1242803 / download malwarebytes funzt nicht
    Plagegeister aller Art und deren Bekämpfung - 13.10.2013 (28)
  6. Trojan.Ransom.ANC - Browser funktioniert nicht mehr - Virenprogramme funktionieren nicht mehr
    Log-Analyse und Auswertung - 30.10.2012 (2)
  7. Habe mir die incredibar beim Download eingefangen und werde sie nicht mehr los.
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (2)
  8. Trojan.Spyeyes, Taskmanager nicht mehr auffindbar, Acrobat Reader funktioniert nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 17.10.2011 (8)
  9. Avira Antivir startet nicht mehr - Download von Dateien nicht mehr möglich
    Log-Analyse und Auswertung - 06.10.2010 (34)
  10. download nicht mehr möglich - freshdownload
    Log-Analyse und Auswertung - 23.12.2008 (2)
  11. download.trojan - auto-protect von Norton lässt sich nicht aktivieren
    Plagegeister aller Art und deren Bekämpfung - 16.08.2007 (3)
  12. Download.Trojan lässt sich nicht löschen!
    Log-Analyse und Auswertung - 19.04.2006 (1)
  13. Werde download.trojan nicht los!?
    Log-Analyse und Auswertung - 20.12.2005 (4)
  14. Krieg den Hijacker nicht mehr raus!
    Log-Analyse und Auswertung - 13.03.2005 (12)
  15. kriege Download.Trojan nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 16.11.2004 (2)
  16. Krieg Dialer od-stnd 367 nicht gelöscht
    Plagegeister aller Art und deren Bekämpfung - 10.08.2003 (1)
  17. 21st century mp3 - dialer beim download ?
    Plagegeister aller Art und deren Bekämpfung - 04.02.2003 (5)

Zum Thema Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg! - Hi, Leute, hab folgendes Problem: hab mir anscheinend einen Dialer eingefangen mit o.g. Nummer. Auf jeden Fall hat er meine DSL-Einwahl „0“ damit überschrieben und macht dies auch bei jedem - Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg!...
Archiv
Du betrachtest: Download.trojan + Dialer (Nr.:7021111115) krieg die Nummer nicht mehr weg! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.