Trojaner-Board - Hilfe kann Dialer nicht loswerden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe kann Dialer nicht loswerden (https://www.trojaner-board.de/14068-hilfe-dialer-loswerden.html)

Hilfe kann Dialer nicht loswerden

http://trojaner-board.de/images/smilies/mad.gif Habe seit drei Tagen einen Dialer und zwar, wenn ich mit meinen Browser Mozilla -Firefox ins www will, erscheint ein Dialer (mit bekannten "OK")drücken. Ich habe EWIDO und ZoneAlarm-Pro installiert.
EWIDO hat mir ein Programm hijackthis zum downloaden zur Verfügung gestellt. Sollte damit Scannen und weitere div. Tätigkeiten durchführen.
Habe dann nach Anweisung (weil ich keine Ahnung habe ) eine Log-Datei erstellt, worauf EWIDO mir angab, was ich löschen sollte. Ergebnis: Dialer immer noch da.
Heute hatte ich kurzfristig "forbidden " beim Hochfahen stehen, aber nach zwei Minuten wa KaZa wieder voll da, obwohl oben im Browser meine WWW-Adresse steht.
Dies ist ein Dealer denn mein Suchprogramm nicht unter dem Dateinamen
> > > > (gn.exe) nicht finden konnte.
> > > > Erkennungen:
> > > > Hashwert: CF5B3355386F95CC6E0138D3504FB4E9534A602A
> > > > Version: 7.0.0.25 Ruf-Nr: 090090001530
> > > > Dateiname: gn.exe
Un so sieht das Sreenshot aus:
!![img]file:///C:/DOKUME%7E1/RUDOLF%7E1/LOKALE%7E1/Temp/msoclip1/01/clip_image002.jpg[/img]

Beim öffnen meines Mozilla Explorer kommt dieser Dealer, obwohl ich eine andere Seite angegeben habe.
Beim öffnen meines Mozilla Explorer kommt dieser Dealer, obwohl ich eine andere Seite angegeben habe.

Was kann ich tun, damit ich den wieder loswerde ?
Bitte Eure Ausführungen in Step by Step schreiben, weil ich so gut wie gar keine Ahnung habe.
Freue mich auf Eure Hilfe und sage jetzt schon mal Dankeschön.
Rudolfwerner

>

hi erstell mit hijack this ein logfile anleitung:http://www.trojaner-board.de/51130-a...ijackthis.html
und poste dies hier im board
download hier:http://filepony.de/download-hijackthis/
sunshine

Hallo,

was ist es denn nun: Ein Dialer oder Dealer?

SCNR

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Zunächst mal tausend Mister oder Misses Sunschine.
Es ist immer wieder Veblüffend, wenn ich mein Problem schildere, dauert es nur wenige Zeit und ich bekomme Hilfe. Waaaaaahhhhhhnnnssssssiiiiiinnnn.
Ich wünschte ich könnte als blutjunger Anfänger mit 59 Jahren Euch auch mal helfen. Aber ich bin mir sicher, obwohl ich es schaffen will, aber nicht erreichen werde. Das mußte ich ganz einfach mal loswerden und ich hoffe, dass Ihr hierführ Verstandnis habt.
Jetz hofe ich das ich die richtigen Angsben hier habe,
Logfile of HijackThis v1.99.0
Scan saved at 19:54:55, on 18.02.2005
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\HP OfficeJet T Series\Bin\HPOstr05.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Hewlett-Packard\HP OfficeJet T Series\bin\HPOVDX05.EXE
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\Programme\Microsoft Office\Office\EXCEL.EXE
C:\Dokumente und Einstellungen\RudolfWERNER\Desktop\hijackThis.exe\HijackThis.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.t-online.de/BTO/index.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~3\IEBUTT~2.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP OfficeJet T Series-Start.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet T Series\Bin\HPOstr05.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.1.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e...://www.ebay.de (file missing)
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Cl.../OCI/setup.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AAD64AA2-8159-4B04-9B7E-FD381CCA5EBA}: NameServer = 217.237.150.141 217.237.150.97
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004aufräumen\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich weiß nichts, mit diesen Daten anzufangen. Ich komme nur klar, wenn Ihr mir stap by step die Vorgehensweise erklärt.
Ich bin sicher, dass die richtige Hilfe kommt.
Danke schon mal im voraus.http://trojaner-board.de/images/smilies/aplaus.gif
Rudolf WERNER

Zitat:

Zitat von Cidre

Hallo
Cidre vbmenu_register("postmenu_118778", true);
Erfahrener Benutzer
Es ist ein Dialer (Bzocker)
Ich habe von AntiVir die Personalediton. Sollte es sich bei eScan AntiVirus um ein andere Programm handeln, freue ich mich natürlich für den Hinweis und bedanke mich bereits im Voraus.
Rudolf WERNER

Hallo Cidre und andere Helfer
Zunächst einmal Dankeschön für die wertvollen Tips.
Wie vor beschrieben, bin ich ein blutjunger Anfänger im Alter von 59 Jahren. Die Zahl ist kein Tippfehler.
Ich war auf e-scan; hier waren rechts 3 Downloads mit der Datei "exefile Standart.
Die angegebene Datei habe ich nicht gefunden. Sorry.
Zum erstenmal höre ich etwas über einen abgesicherten Modus und habe mir hierzu den entsprechenden Link drucken lassen. Weiterhin habe ich auch die Anleitung von eScan ausdrucken lassen.
Jetzt fehlt mir nur noch der richtige Link zu "free eScan Antivierus Toolkit Utility".
Mehr als ein großes Dankeschön kann ich nicht schreiben und freue mich auf eine Hilfe.
Rudolf WERNER

Hallo dartus !
Ich war schon vorher auf der Seite, aufgrund eines vorhergehenden Links.
Jetzt muß ich nur noch wissen, was ich anklicken muß.
Muß ich vor dem Download den PC im abgesichertes Modus haben ?
Danke im Voraus für die Antwort.
Rudolf WERNER

Hallo,

da hast Du die freie Auswahl.

Nach dem download, entpacken in den neuen Ordner c:\bases, updaten und dann in den abgesicherten Modus. Dort scannen. :)

dartus

Hallo Rudolf,

wenn Du auf der angegebenen Seite bist, siehst Du im linken oberen Bereich dieses 'Fenster':
http://derbilk.de/eScan.jpg
Dort ist es dann egal, welcher der drei Links Du anklickst. Es handelt sich nur um verschiedene Speicherorte im Web. Die Datei ist aber identisch.

Und nein, zum herunterladen musst (solltest) Du nicht in den abgesicherten Modus. Diesen nutze erst, wenn Du damit Deinen Rechner scannst.

OK - ich war langsamer - Aber dafür mit Bild... :lach:

:lach: das kann ich jetzt wieder, hallo Lutz und Dartus.
Danke, morgen früh, wenn ich Konzentrationsmäßig /Hirninfarkt) gut drauf bin, werde ich es versuchen.
Habe wenig Bedenken, da ich ja weiß, dass es Euch gibt.
Nochmals Danke und eine gesunde Zeit wünscht Euch
Rudolf WERNER

Hallo Lutz, toll, dass Du mir bildhaft zeigst, was ich anklicken muß.
Wenn ich wüßte, was der gesicherte Modus bedeutet, ging es mir viel besser.
Vielleicht nimmt sich ein Experte, habe bisher noch keinen schlechten Tip erhalten, die Zeit und schreibt mir Step by Step , wie ich vorzugehen habe.
Ich denke, der Download ist noch das Leichstete.
Mittlerweile hat sich der Eigentümer, der meine Webadresse gekauft hat,
au eine weiße Seite beschränkt, weill ich allen meinen Kunden mitgeteilt habe, dass ich meine Hompage zum 31.12.04 gelöscht habe und mich nicht mit der neuen Website (0900er-Nummer ) nicht identifiziere. Heute zeigt mein PC beim Einloggen ins Internet nur noch meine Adresse, aber ansonsten ist die Seite weiß.
Wenn es jetzt leichter sein sollte, meine "alte Startadresse : rudolfwerner.de
zu löschen, freue ich mich schon jetzt.
Danke
Rudoldf WERNER

Hallo Rudolf,

wie Du Deinen PC im abgesicherten Modus starten kannst, ist beispielsweise auf dieser Seite beschrieben -> http://www.trojaner-board.de/63335-w...s-starten.html

Den 'richtigen' Umgang mit eScan habe ich mal auf der zu diesem Forum gehörenden Webseite beschrieben -> http://www.trojaner-board.de/42731-escan-anleitung.html
Es klingt zunächst für einen Unerfahrenen recht kompliziert, ist es aber im Grunde nicht. Lies Dir die Seite in Ruhe durch. Führe also als erstes mal so einen Scan aus.

Am Ende des Scans (dies kann unter Umständen deutlich länger als 1 Stunde dauern) wirst Du in dem Verzeichnis, in welchen sich eScan befindet (dies sollte -wenn Du Dich an obige Anleitung hälst- das Verzeichnis c:\bases sein) eine Datei namens mwav.log finden. Diese Datei kannst Du mit einem Doppelklick öffnen.
Ganz am Ende dieser Datei sollte etwa folgendes stehen:

Zitat:

Sat Jan 22 08:50:29 2005 => Total Number of Files Scanned:
Sat Jan 22 08:50:29 2005 => Total Number of Virus(es) Found:
Sat Jan 22 08:50:29 2005 => Total Number of Disinfected Files:
Sat Jan 22 08:50:29 2005 => Total Number of Files Renamed:
Sat Jan 22 08:50:29 2005 => Total Number of Deleted Files:
Sat Jan 22 08:50:29 2005 => Total Number of Errors:
Sat Jan 22 08:50:29 2005 => Time Elapsed:
Sat Jan 22 08:50:29 2005 => Virus Database Date:
Sat Jan 22 08:50:29 2005 => Virus Database Count:

Sat Jan 22 08:50:29 2005 => Scan Completed.

Wobei sich hinter jedem Doppelpunkt noch eine Zahl befindet. Markiere bitte diese Zeilen und kopiere sie mit der Tastenkombination [Strg] und [c] zunächst in die Zwischenablage und füge sie anschließende mit den Tasten [Strg] + [v] hier ein. Dann schauen wir weiter...

Danke für die schnellen Hinweise.
Sobald ich (krankheitsbedingt ) meine Therapien rum habe, werde ich mich mit Deinen Ausführungen befassen.
Mein Motto heißt immer " geht nicht, gibt´s nicht.
Nochmals vielen Dank und herzliche Grüße
aus dem schönen Westerwald.

Hallo meine lieben Helfer zu obigem Betreff.
Zwischenzeitlich konnte ich bei dem Dialer erreichen, dass er mit meiner ehemaligen Adresse eine leere Seite zeigt. Bei jeder Mail von mir, bekomme ich das Feedback, den Text erst anwaltlich prüfen zu lassen, um mich loszuwerden.
Ich habe fstgestellt, das der Buttom "aktuelle Seite" deaktiviert ist.
Bevor ich Eure guten aber für mich schwierigen Ratschläge befolge, stellt sich nunmehr die Frage, wie kann ich den Button aktuelle Seite " wieder aktivieren, denn dann glaube ich, wäre das Problem vielleicht einfacher für mich zu lesen.
Übrigens; Der Button befindet sich bei mir unter Internetoptionen-allgemein.
Jetzt freue ich mich auf Eure guten Ratschläge.
Rudolf WERNER