Wie entferne ich den Dialer HotXXX???
 

Moin!

Seit 2 tagen stört ein Dialer namens HotXXX meine DSL-Verbindung
Ich hab mir Hijackthis runtergeladen, hier ist mein log:

Logfile of HijackThis v1.98.0
Scan saved at 14:53:35, on 17.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\1&1 PROGRAMME\CFOSDW.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\NAVCHK.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\HP OFFICEJET 5100 SERIES\BIN\HPOANT07.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOEVM07.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOSTS07.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOFXM07.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\KAZAA\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von PC Games HARDWARE
F1 - win.ini: run=C:\PROGRA~1\1&1PROGR\CFOSDW.EXE
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\SCANREGW.EXE /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\navchk.exe /i
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: HPAiODevice(hp officejet 5100 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet 5100 series\Bin\hpoant07.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROSOF\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internetprogramme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internetprogramme\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\INTERNETPROGRAMME\YAHOO.MESSANGER\YPAGER.EXE (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\INTERNETPROGRAMME\YAHOO.MESSANGER\YPAGER.EXE (file missing)
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.pcgameshardware.de
O16 - DPF: {1DB3B8DD-5801-443F-B2D5-9BF8912B980E} (dmgrax2Ctrl Class) - http://www.lxsystems.com/downloads/Install.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O20 - AppInit_DLLs: APITRAP.DLL

Dieser Log ist entstanden, nachdem der dialer meine verbindung gestört hat und ich die enstandenen Icons (desktop und "start"fenster) entfernt hab.

Ich würde mich wirklich sehr freuen, wenn ihr mir helfen könntet, diesen extrem nervigen dialer loszuwerden!

Danke im vorraus!

Flo

Hoi, schau mal bei lavasoft.de rein und saug Dir AdAware oder AVP von http://www.free-av.com/ - Dürften eigtl beide kein Problem damit haben.

Wenn's noch probs gibt, hier ein englisches howto:

http://www.lavasoftsupport.com/index...3604&hl=hotxxx

Grüße, Martin

Ad Aware, spybot, norton antivirus hab ich bei mir aufm pc, auch schon mehrere male durchlaufen lassen, nach einem neustart ist der dialer wieder da! im moment lasse ich grade escan durchlaufen, mal sehen, ob das programm das problem beheben kann.

gibt es keine bestimmten dateien, die gelöscht werden müssen?
der dialer legt bei mir immer wieder eine neue startseite fest: www.miosearch.com

Weiß noch jemand rat?

Unter www.hijackthis.de kannst Du das HJT-Logfile automatisch auswerten lassen. Überprüfe die dort unbekannten Dateien, z.B. unter http://www.kaspersky.com/de/scanforvirus.

Insbesondere die NAVCHK.EXE. Dann ggf. mit HJT fixen.

Außerdem solltest Du Dein System unteer http://www.windowsupdate.com auf den aktuellen Stand bringen.

Zudem solltest Du den Standardbrowser wechseln. Mozilla, Firefox und Opera sind sicherer (und besser) als der IE.

Gruß :daumenhoc
Yopie

@Yopie:

Kannst Du mir mal Links schicken, unter denen ich mich konkret über die Vergleiche IE und Firefox & Co. schlaumachen kann??

Alle reden ständig von Sicherheitslücken, kann das nicht nachvollziehen :confused: Surfe seit jeher mit dem IE und fange mir nie was ein, selbst mit unsicherer Konfiguration kann man vollkommen sicher surfen, wenn man sich an ein paar regeln hält.

Außerdem: Lieber würde ich mich mit dem Entfernen von Malware beschäftigen als diese Zeit damit zu verbraten, die längeren Wartezeiten von Firefox & Co. in Anspruch zu nehmen - und jetz komm mir nicht und sag, es gäbe keine Performance-Unterschiede ;) :D

@Flo: Unter dem Link nicht fündig geworden?

Ich poste einfach mal das Zitat aus dem Lavasoft-Forum:

"Run HijackThis again, close all open windows, put a checkmark next to the following, and press "Fix Checked":

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F0 - syst>m.ini: Shell=
F0 - R >ystem.ini: Shel>=
F0 - R >ystem.ini: UserInit=
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\SYSTEM\IEHELPER.DLL
O4 - HKLM\..\Run: [QTSvc] C:\WINDOWS\ssvr.exe /i
O4 - HKLM\..\Run: [HotXXX] C:\WINDOWS\HotXXX.exe -n

Re-boot/Restart the computer"

Ich hab nochmal n paar programme laufen lassen, auch hijackthis nochmal, hier der neue log. is da immer noch irgendwas infiziert?

Logfile of HijackThis v1.98.0
Scan saved at 17:10:15, on 17.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\1&1 PROGRAMME\CFOSDW.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\NAVCHK.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\HP OFFICEJET 5100 SERIES\BIN\HPOANT07.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOEVM07.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOSTS07.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOFXM07.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
D:\KAZAA\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von PC Games HARDWARE
F1 - win.ini: run=C:\PROGRA~1\1&1PROGR\CFOSDW.EXE
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\SCANREGW.EXE /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\navchk.exe /i
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: HPAiODevice(hp officejet 5100 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet 5100 series\Bin\hpoant07.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROSOF\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internetprogramme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internetprogramme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1DB3B8DD-5801-443F-B2D5-9BF8912B980E} (dmgrax2Ctrl Class) - http://www.lxsystems.com/downloads/Install.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O20 - AppInit_DLLs: APITRAP.DLL

Danke für eure Hilfe!

Hi Schneipi,

101 Sachen, die der Mozilla Browser kann und IE nicht

Zu den Sicherheitslücken:
http://www.heise.de/security/dienste...ercheck/demos/

Dass Du und ich sich mit einem IE mit unsicheren Einstellungen nichts einfangen werden ist nicht der Punkt. Ich gebe Dir recht, dass dies mit ein paar Regeln möglich ist.

Aber bei Joe Sixpack, der hier mit Browser Hijacking, "Dealern" und Portscans auftaucht, erwarte ich nicht, dass er diese Regeln beachten oder sich mit den wirklich nicht trivialen Sicherheitseinstellungen des IE beschäftigen kann. Das beweist der Durchschnitts-User hier täglich.

Daher empfehle ich alternative Browser; sie sind in der Standard-Einstellung u.a. aufgrund fehlender ActiveX-Plugins viel sicherer und damit für solche User imho geeigneter.

Ich nutze Mozilla in erster Linie aufgrund der integrierten Features wie Popup-Blocker und Tabbed Browsing (s. auch den ersten Link). Unter den Seiten, die ich regelmäßig nutze, befindet sich keine, die nicht vernünftig dargestellt wird; Features des IE vermisse ich nicht (welche sollten das sein?).

Performance-Unterschiede sah ich bei meinem alten 233er PII schon. Dies aber v.a. beim Starten der Programme. Der Vergleich ist aber etwas unfair, da der IE ja schon beim Start von Windows (teilweise) mitgeladen wird und ins BS integriert ist (mit den bekannten Sicherheitsproblemen).

Mit meinem neuen Rechner kann ich aber insbesondere bei der Geschwindigkeit beim Seitenaufbau keine Unterschiede mehr feststellen.

Opera ist zur Zeit nicht installiert, ich nehme aber an, dass er noch schneller sein dürfte.

Gruß :daumenhoc
Yopie

Das von dir gepostete Zitat enthält Werte/Zeilen, die bei mir gar nicht auftauchen und die ich deshalb auch nicht fixen kann.....

Was hat es denn nun mit dieser Datei auf sich? Hast Du Dir die automatische Auswertung mal angeschaut?

Wie macht sich das denn eigentlich bemerkbar?

Gruß :daumenhoc
Yopie

zum ersten: Full Ack - das sehe ich natürlich ein :)

Performamce-Unterschiede stelle ich auf meiner Workstation (siehe SysP) definitiv fest, vor allem beim simultanen Laden von mehreren Seiten lahmt die Verbindung doch sehr arg - der IE schafft problemlos 10 bildgallerien gleichzeitig, das macht bei mir kein anderer Browser mit.

Was das Starten der Browser angeht so ist mir da eine Wartezeit banane.

Zu den 101 Gründen: Sind ein paar mit bei, welche mich dazu bewegt haben alternative Browser zu installieren, nutze den Schnickschnack aber kaum, genausowenig, wie ich solche Tools wie GetRight o.ä. benutze :)
Aber nicht dass Du mich falsch verstehst: Alternative Browser regieren! Aber ich liebe Standards und derer ist der IE nunmal mächtig 8-)

Greets, Martin

Googlen nach navchk.exe ergab u.a. folgendes:

http://forum.computerbetrug.de/viewtopic.php?p=66138

Eben kam der dialer schon wieder, er kommt aber nur einmal nach einem neustart, es erscheinen einige fenster, die wie ein installationsfenster aussehen und es entstehen icons auf dem desktop und dem Start-fenster/startleiste, außerdem entsteht ein eintrag im DFÜ-netzwerk mit dem namen XXXDial, selbst wenn man alles löscht kommt der dialer nach dem nächsten neustart wieder, es muss doch irgendeine datei oder ein registrierungsschlüssel/-wert infiziert sein!!!

Bei der auswertung zeigt er mir für dein zitat nur unbekanntes programm an, ich weiß auch nicht, woher der eintrag kommt bzw. zu welchem programm er gehört.

Gibt es keinen allgemeingültigen lösungsweg für die beseitigung dieses dialers?
Oder noch irgendein programm, das diesen entfernen kann?

Zum ersten: Logo. ;)

Mit der Standardkonformität ist das aber so eine Sache:

http://de.wikipedia.org/wiki/Internet_Explorer :
Gruß :daumenhoc
Yopie

Was sagt denn der bereits verlinkte Online-Check bei Kaspersky? Es wäre toll, wenn Du die Tips, die Du hier u.a. in Form von Links erhältst, auch umsetzt. :crazy:

Außerdem auch den letzten Link von DaSnyper beachten!

Gruß :daumenhoc
Yopie