Wie entferne ich den Dialer HotXXX???
 

Moin!

Seit 2 tagen stört ein Dialer namens HotXXX meine DSL-Verbindung
Ich hab mir Hijackthis runtergeladen, hier ist mein log:

Logfile of HijackThis v1.98.0
Scan saved at 14:53:35, on 17.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\1&1 PROGRAMME\CFOSDW.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\NAVCHK.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\HP OFFICEJET 5100 SERIES\BIN\HPOANT07.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOEVM07.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOSTS07.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOFXM07.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\KAZAA\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von PC Games HARDWARE
F1 - win.ini: run=C:\PROGRA~1\1&1PROGR\CFOSDW.EXE
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\SCANREGW.EXE /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\navchk.exe /i
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: HPAiODevice(hp officejet 5100 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet 5100 series\Bin\hpoant07.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROSOF\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internetprogramme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internetprogramme\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\INTERNETPROGRAMME\YAHOO.MESSANGER\YPAGER.EXE (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\INTERNETPROGRAMME\YAHOO.MESSANGER\YPAGER.EXE (file missing)
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.pcgameshardware.de
O16 - DPF: {1DB3B8DD-5801-443F-B2D5-9BF8912B980E} (dmgrax2Ctrl Class) - http://www.lxsystems.com/downloads/Install.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O20 - AppInit_DLLs: APITRAP.DLL

Dieser Log ist entstanden, nachdem der dialer meine verbindung gestört hat und ich die enstandenen Icons (desktop und "start"fenster) entfernt hab.

Ich würde mich wirklich sehr freuen, wenn ihr mir helfen könntet, diesen extrem nervigen dialer loszuwerden!

Danke im vorraus!

Flo

Hoi, schau mal bei lavasoft.de rein und saug Dir AdAware oder AVP von http://www.free-av.com/ - Dürften eigtl beide kein Problem damit haben.

Wenn's noch probs gibt, hier ein englisches howto:

http://www.lavasoftsupport.com/index...3604&hl=hotxxx

Grüße, Martin

Ad Aware, spybot, norton antivirus hab ich bei mir aufm pc, auch schon mehrere male durchlaufen lassen, nach einem neustart ist der dialer wieder da! im moment lasse ich grade escan durchlaufen, mal sehen, ob das programm das problem beheben kann.

gibt es keine bestimmten dateien, die gelöscht werden müssen?
der dialer legt bei mir immer wieder eine neue startseite fest: www.miosearch.com

Weiß noch jemand rat?

Unter www.hijackthis.de kannst Du das HJT-Logfile automatisch auswerten lassen. Überprüfe die dort unbekannten Dateien, z.B. unter http://www.kaspersky.com/de/scanforvirus.

Insbesondere die NAVCHK.EXE. Dann ggf. mit HJT fixen.

Außerdem solltest Du Dein System unteer http://www.windowsupdate.com auf den aktuellen Stand bringen.

Zudem solltest Du den Standardbrowser wechseln. Mozilla, Firefox und Opera sind sicherer (und besser) als der IE.

Gruß :daumenhoc
Yopie

@Yopie:

Kannst Du mir mal Links schicken, unter denen ich mich konkret über die Vergleiche IE und Firefox & Co. schlaumachen kann??

Alle reden ständig von Sicherheitslücken, kann das nicht nachvollziehen :confused: Surfe seit jeher mit dem IE und fange mir nie was ein, selbst mit unsicherer Konfiguration kann man vollkommen sicher surfen, wenn man sich an ein paar regeln hält.

Außerdem: Lieber würde ich mich mit dem Entfernen von Malware beschäftigen als diese Zeit damit zu verbraten, die längeren Wartezeiten von Firefox & Co. in Anspruch zu nehmen - und jetz komm mir nicht und sag, es gäbe keine Performance-Unterschiede ;) :D

@Flo: Unter dem Link nicht fündig geworden?

Ich poste einfach mal das Zitat aus dem Lavasoft-Forum:

"Run HijackThis again, close all open windows, put a checkmark next to the following, and press "Fix Checked":

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F0 - syst>m.ini: Shell=
F0 - R >ystem.ini: Shel>=
F0 - R >ystem.ini: UserInit=
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\SYSTEM\IEHELPER.DLL
O4 - HKLM\..\Run: [QTSvc] C:\WINDOWS\ssvr.exe /i
O4 - HKLM\..\Run: [HotXXX] C:\WINDOWS\HotXXX.exe -n

Re-boot/Restart the computer"

Ich hab nochmal n paar programme laufen lassen, auch hijackthis nochmal, hier der neue log. is da immer noch irgendwas infiziert?

Logfile of HijackThis v1.98.0
Scan saved at 17:10:15, on 17.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\1&1 PROGRAMME\CFOSDW.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\NAVCHK.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\HP OFFICEJET 5100 SERIES\BIN\HPOANT07.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOEVM07.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOSTS07.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOFXM07.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
D:\KAZAA\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von PC Games HARDWARE
F1 - win.ini: run=C:\PROGRA~1\1&1PROGR\CFOSDW.EXE
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\SCANREGW.EXE /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\navchk.exe /i
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: HPAiODevice(hp officejet 5100 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet 5100 series\Bin\hpoant07.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROSOF\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internetprogramme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internetprogramme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1DB3B8DD-5801-443F-B2D5-9BF8912B980E} (dmgrax2Ctrl Class) - http://www.lxsystems.com/downloads/Install.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O20 - AppInit_DLLs: APITRAP.DLL

Danke für eure Hilfe!

Hi Schneipi,

101 Sachen, die der Mozilla Browser kann und IE nicht

Zu den Sicherheitslücken:
http://www.heise.de/security/dienste...ercheck/demos/

Dass Du und ich sich mit einem IE mit unsicheren Einstellungen nichts einfangen werden ist nicht der Punkt. Ich gebe Dir recht, dass dies mit ein paar Regeln möglich ist.

Aber bei Joe Sixpack, der hier mit Browser Hijacking, "Dealern" und Portscans auftaucht, erwarte ich nicht, dass er diese Regeln beachten oder sich mit den wirklich nicht trivialen Sicherheitseinstellungen des IE beschäftigen kann. Das beweist der Durchschnitts-User hier täglich.

Daher empfehle ich alternative Browser; sie sind in der Standard-Einstellung u.a. aufgrund fehlender ActiveX-Plugins viel sicherer und damit für solche User imho geeigneter.

Ich nutze Mozilla in erster Linie aufgrund der integrierten Features wie Popup-Blocker und Tabbed Browsing (s. auch den ersten Link). Unter den Seiten, die ich regelmäßig nutze, befindet sich keine, die nicht vernünftig dargestellt wird; Features des IE vermisse ich nicht (welche sollten das sein?).

Performance-Unterschiede sah ich bei meinem alten 233er PII schon. Dies aber v.a. beim Starten der Programme. Der Vergleich ist aber etwas unfair, da der IE ja schon beim Start von Windows (teilweise) mitgeladen wird und ins BS integriert ist (mit den bekannten Sicherheitsproblemen).

Mit meinem neuen Rechner kann ich aber insbesondere bei der Geschwindigkeit beim Seitenaufbau keine Unterschiede mehr feststellen.

Opera ist zur Zeit nicht installiert, ich nehme aber an, dass er noch schneller sein dürfte.

Gruß :daumenhoc
Yopie

Das von dir gepostete Zitat enthält Werte/Zeilen, die bei mir gar nicht auftauchen und die ich deshalb auch nicht fixen kann.....

Was hat es denn nun mit dieser Datei auf sich? Hast Du Dir die automatische Auswertung mal angeschaut?

Wie macht sich das denn eigentlich bemerkbar?

Gruß :daumenhoc
Yopie

zum ersten: Full Ack - das sehe ich natürlich ein :)

Performamce-Unterschiede stelle ich auf meiner Workstation (siehe SysP) definitiv fest, vor allem beim simultanen Laden von mehreren Seiten lahmt die Verbindung doch sehr arg - der IE schafft problemlos 10 bildgallerien gleichzeitig, das macht bei mir kein anderer Browser mit.

Was das Starten der Browser angeht so ist mir da eine Wartezeit banane.

Zu den 101 Gründen: Sind ein paar mit bei, welche mich dazu bewegt haben alternative Browser zu installieren, nutze den Schnickschnack aber kaum, genausowenig, wie ich solche Tools wie GetRight o.ä. benutze :)
Aber nicht dass Du mich falsch verstehst: Alternative Browser regieren! Aber ich liebe Standards und derer ist der IE nunmal mächtig 8-)

Greets, Martin

Googlen nach navchk.exe ergab u.a. folgendes:

http://forum.computerbetrug.de/viewtopic.php?p=66138

Eben kam der dialer schon wieder, er kommt aber nur einmal nach einem neustart, es erscheinen einige fenster, die wie ein installationsfenster aussehen und es entstehen icons auf dem desktop und dem Start-fenster/startleiste, außerdem entsteht ein eintrag im DFÜ-netzwerk mit dem namen XXXDial, selbst wenn man alles löscht kommt der dialer nach dem nächsten neustart wieder, es muss doch irgendeine datei oder ein registrierungsschlüssel/-wert infiziert sein!!!

Bei der auswertung zeigt er mir für dein zitat nur unbekanntes programm an, ich weiß auch nicht, woher der eintrag kommt bzw. zu welchem programm er gehört.

Gibt es keinen allgemeingültigen lösungsweg für die beseitigung dieses dialers?
Oder noch irgendein programm, das diesen entfernen kann?

Zum ersten: Logo. ;)

Mit der Standardkonformität ist das aber so eine Sache:

http://de.wikipedia.org/wiki/Internet_Explorer :
Gruß :daumenhoc
Yopie

Was sagt denn der bereits verlinkte Online-Check bei Kaspersky? Es wäre toll, wenn Du die Tips, die Du hier u.a. in Form von Links erhältst, auch umsetzt. :crazy:

Außerdem auch den letzten Link von DaSnyper beachten!

Gruß :daumenhoc
Yopie

@Yopie: Das W3CKonsortium ist mir freilich bekannt - wenn ich aber so nachgrüble, stelle ich fest, dass die Zeiten, in denen IE der einzigste Browser war, dessen grafischer Output mit allem zurecht kam. In der Tat hat sich inzwischen einiges geändert.
Ist wohl wirklich an der Zeit, einige Gewohnheiten zu überdenken...

Denke ich an die Zeiten zurück, in denen ich sehr überzeugt vom IE war, dann waren das die Zeiten, in denen Opera noch in den Kinderschuhen steckte und Netscape gerade ordentlich durch den Fleischwolf gedreht wurde :D

alle unbekannten datein sind laut kapersky ok, den link hab ich mir angeschaut, aber der registrierungswert konnte nicht gefunden werden,
beim onlinecheck des logs ist mir noch folgendes aufgefallen:

O16 - DPF: {1DB3B8DD-5801-443F-B2D5-9BF8912B980E} (dmgrax2Ctrl Class) - http://www.lxsystems.com/dow
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen

Soll ich das fixen?

Ich lass jetzt mal BHODemon laufen, vielleicht bringt das was.....

BHODemon hat nix gebracht, nur eine datei, die zu norton antivirus gehört, wurde gefunden, so langsam verzweifel ich.......

@DaSnyper:
Ich hab doch auch lange den IE genutzt. Opera hatte IIRC bei Javascript oft Probleme (das waren, glaub ich, 5xer Versionen), mit Netscape 4 konnte ich mich nie andreunden, und Netscape 6.0 war eine Katastrophe.

Seit aber die Mozilla-Suite in der Versionsangabe eine 1 vor dem Komma hat, ist das mein primärer Browser. Dementsprechend gut war dann auch Netscape 7.
Wenn heute eine Seite im Moz nicht richtig angezeigt wird, und man diese Seite durch den Validator des W3C jagt, dann wird der Grund für die schlechte Anzeige sehr oft klar.

Für Opera gilt dies in ähnlicher Weise.

@Flo85:
Über rechte Maustaste-Eigenschaften kannst Du Infos zur datei navchk.exe anzeigen lassen. Ich nehme immer noch an, dass die nicht i.O. ist. Wenn die Eigenschaften nicht plausibel sind, dann fix die mal mit Hijackthis und benenne sie anschließend um (falls Du sie wider Erwarten doch noch brauchst).

Wenn das im normalen Modus nicht geht, versuchs im abgesicherten Modus.

Den Eintrag mit lxsystems kannst Du löschen, er würde bei Bedarf wieder hergestellt.

Versuch auch mal folgende Vorgehensweise:
http://www.trojaner-board.de/showthread.php?t=6083

Gruß :daumenhoc
Yopie

also, ich hab jetzt so ziemlich alles versucht, was bisher an tipps gesagt wurde, ich hab nochmal ein log mit hijackthis erstellt:

Logfile of HijackThis v1.98.0
Scan saved at 19:47:59, on 17.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\1&1 PROGRAMME\CFOSDW.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SVCHOSTS.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\HP OFFICEJET 5100 SERIES\BIN\HPOANT07.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOEVM07.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOSTS07.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HEWLETT-PACKARD\AIO\SHARED\BIN\HPOFXM07.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
D:\KAZAA\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.miosearch.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von PC Games HARDWARE
F1 - win.ini: run=C:\PROGRA~1\1&1PROGR\CFOSDW.EXE
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\SCANREGW.EXE /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\svchosts.exe /i
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: HPAiODevice(hp officejet 5100 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet 5100 series\Bin\hpoant07.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROSOF\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internetprogramme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internetprogramme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O20 - AppInit_DLLs: APITRAP.DLL

Zuvor hab ich windows (98SE) auf www.windowsupdate.com auf den neusten stand gebracht

welche dateien sind für diesen Dialer verantowrtlich?kann man sie einfach löschen? Bringt der/das log neue erkenntnisse?

Vielen Dank!

Mensch Flo, GOOGLE heisst Deine Lösung!
Schaue auch auf http://www.answersthatwork.com/ unter "TASK LIST" nach all den Exe-Dateien, die HJT Dir ausspuckt.

Aber ich glaube, die Quelle Deines Übels könnte darin liegen:

D:\KAZAA\HIJACKTHIS.EXE

*kopfschüttel*

Die Seite mit der automatischen Auswertung kennst Du ja mittlerweile sicherlich.

Den dort als "böse" gekennzeichneten Prozess über den Taskamanager beenden, den evtl. bösen R0-Eintrag und den bösen 04-Eintrag mit HJT fixen.

Du hast nicht wirklich HJT über Kazaa gezogen, oder?

Gruß :daumenhoc
Yopie

Guten Morgen!
Ich hab den tipp von yopie nochmal befolgt und bin jetzt das erste mal danach wieder online, bis jetzt funzt alles.....

zu euren befürchtugen: ich benutze kazaa schon lange nicht mehr, nur der ordner ist übrig geblieben (mein PC ist seit 3 jahren nicht formatiert worden), ich benutze ihn als speicherpunkt für alle downloads, ich hab mir das doch nicht über kazaa gezogen (wobei es das doch auch so zu downloaden gibt)!!!

Vielen dank erstmal für eure hilfe, falls es nochmal probleme gibt, melde ich mich nochmal.
der dialer scheint ziemlich neu zu sein, da ihn alle bekannten programme nicht wirklich entfernen können, was meint ihr, wird es in naher zukunft updates für diese programme geben, mit denen er mit einem knopfdruck entfernt werden kann???

Bis denn!

Flo

Natürlich! - :D

Ansonsten: cu :)

grüße, Schneipi

Hallo,

hatte bis vorhin auch mit dem Dialer HotXXX zu kämpfen. Nachdem ich in den letzten Stunden die im Forum erwähnten Tipps angewandt habe, d. h. escan, hijackthis usw.... und meinen PC neu gestartet habe, scheint der Dialer wohl verscheucht! Zumindest hat er sich seitdem nicht mehr gemeldet.. will hoffen er macht nicht nur ne Ruhepause!!

Nichtsdestotrotz würde ich mich freuen, wenn einer der hilfsbereiten User mal einer Blick auf meinen Log wirft und da mal schaut ob noch irgendwas faul ist.

Danke & Gruß

Logfile of HijackThis v1.98.0
Scan saved at 00:37:49, on 19.07.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\PROGRAMME\MCAFEE\QUICKCLEAN\PLGUNI.EXE
C:\PROGRAMME\SICHERHEIT\0190 WARNER\WARN0190.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXE
C:\PROGRAMME\ASUS HOTKEY\HOTKEY.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\AOL 9.0\AOLTRAY.EXE
D:\FINEPIX\QUICKDCF.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\SICHERHEIT\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\Plguni.exe" /START
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\SICHER~2\0190WA~1\WARN0190.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\RunServices: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\SYSTEM\Restore\StateMgr.exe
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\icq.exe -minimize
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: ASUS Hotkey.lnk = C:\Programme\Asus Hotkey\Hotkey.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Startup: Exif Launcher.lnk = D:\finepix\QuickDCF.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0522.DLL (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0522.DLL (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL

Sieht gut aus!

Aber: "MSIE: Internet Explorer v5.50 (5.50.4134.0600)" ist nicht aktuell!

Bitte updaten über http://www.windowsupdate.com (bzw. über AOL? Keine Ahnung, wie das dort mit aktueller Software aussieht, wende Dich an AOL!)

Daneben solltest Du auch als AOLer alternative Browser nutzen! Argumente wurden ja in diesem Thread genug genannt. ;)

Gruß :daumenhoc
Yopie

helft mir, bitte...
ich habe auch den hotxxx dialer.
nachdem ich meine log im net ausgewertet habe und die bösen dateien geloggt habe, dachte ich, ich wäre den dialer los, bin ich aber nicht, er erschien promt wieder.
ich kopier euch mal meine log, ihr müsst mir bitte sagen was los ist, zumal die angriffe des dialers immer heftiger werden zu scheinen.
MfG

meine log:
Logfile of HijackThis v1.98.0
Scan saved at 02:17:15, on 19.07.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Winamp\winampa.exe
C:\WINNT\msocfg.exe
C:\Programme\BHODemon 2\BHODemon.exe
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\Dokumente und Einstellungen\Lammers\Desktop\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.miosearch.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QTSvc] C:\WINNT\msocfg.exe /i
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Watch.lnk = C:\WINNT\twain_32\1200 CU PLUS\WATCH.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{48A82A7C-9AF1-4B24-A02B-F1C6E492DA63}: NameServer = 217.237.151.225 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1B6B8C2-6406-4BE4-B69D-8042F48FDC47}: NameServer = 192.168.120.252,192.168.120.253

bitte, es ist dringend!
eure hilft wäre total nett! :)

Hi SVM-Fan,

willkommen an Board. :)

Beende die als "unbekannt" eingestuften Prozesse über den Task Manager und fixe diese Einträge über HJT.

Danach lösche die Datei C:\WINNT\msocfg.exe (evtl. im abgesicherten Modus).

Vielleicht ists dann vorbei mit der Browser-Hijackerei. :D

Sowas kann man leicht vermeiden! Hinweise zum Browserwechsel in diesem Thread beachten, außerdem dringend Windows und IE über http://www.windowsupdate.com auf den neuesten Stand bringen.

Gruß :daumenhoc
Yopie

Hilfe,

hab auch den Dialer hotxxx eingefangen.

Nachstehend die log files von hijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 17:48:17, on 19.07.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\NORMAN\WIN95\CLAW95.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\PRIMAX\POWERTWAIN\PMXDETECT.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\LAUNCHER.EXE
C:\WINDOWS\SHMAN.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\EIGENE DATEIEN\PATRICK\SONSTIGES\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\system32\blank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\blank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\system32\blank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINDOWS\system32\searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\system32\searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\system32\blank.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\system32\blank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://e-plus.cc/search.php?aff_id=46&keyword=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html
F1 - win.ini: run=hpfsched
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Cat's Claw] C:\NORMAN\WIN95\CLAW95.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [Scan Detector] C:\PROGRA~1\PRIMAX\POWERT~1\Pmxdetect.exe
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\SYSTEM\Launcher.exe
O4 - HKLM\..\Run: [Messanger] C:\WINDOWS\c_pan.exe /i
O4 - HKLM\..\Run: [QTSvc] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\domer00046\GD-DIAL.EXE -remove
O4 - HKCU\..\Run: [AIM] C:\PROGRAMME\AIM95\aim.exe -cnetwait.odl
O4 - Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...187.1689699074
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253


Kann mir da jemand helfen???

@Pattes: Was hälstn von dem Vorschlag, diesen Thread als erstes durchzuarbeiten ;) ?

Was willst du mir sagen?

Ich bin kein Experte und hab folgendes Problem:

Ich kann den Dialer hotxxx im Windoes-Verzeichnis, im Startmenü und im Autostart löschen. Er installiert sich aber immer wieder erneut.

Was soll ich erst durcharbeiten?

Nun, ich meinte Du solltest Diesen Forenbeitrag durchackern - die Lösung sollte sich finden lassen :)

Sorry, aber wir haben nunmal keine zeit, uns mit jedem problem individuell zu befassen, vor allem wenn es bereits diskuttiert wurde - also versuch mit dem Dialer fertigzuwerden mit vorangehenden Infos - sollte es partout nicht klappen, melde Dich wieder :)

Beim kurzen Überfliegen Deines Logs sind mir auch gleich mehrere suspektze Keys aufgefallen:

O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H

O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\domer00046\GD-DIAL.EXE -remove

C:\WINDOWS\SYSTEM\Launcher.exe

Nutzt Du Kazaa :) ?

Habe KAZAA drauf, ja.

Ich hab das Problem für die Windows ME nutzer wahrscheinlich auch gelöst.

Nach dem deaktivieren der Systemwiederherstellung, mit HyjackThis die miosearch und shman.exe/i Datei fixen. Letztgenannte Datei auf c: löschen und wieder hochbooten. Vermutlich steckt der Dialer hinter dieser Datei.

Was gibts zu den erwähnten Einträgen zu sagen?

um GOTTES WILLEN!!!!

Lösche SOFORT Kazaa, WENN kazaa, dann Kazaa lite.

Genannte Programme sind meines Wissens nach Ad- bzw. Malware, die sich mit kazaa mitinstallieren.

Ich für mich richte mich nach folgender Faustregel: NIEMALS Kazaa benutzen :D

Hallo Leute,
seit 3 Tagen trennt HOTXXX meine DSL Verbindung und versucht über Modem sich einzuwählen. Ich habe alle Vorbereitungen für Format C getroffen, um diesen "Dialer" wieder los zu werden. Antivir: erfolglos. Spybot: erfolglos. Adaware: erfolglos. Ein Fehler hat der Erfinder dieses Mistding wahrscheinlich gemacht. Er erlaubt für eine unbestimmte Zeit das Surfen. Ich habe mir gedacht, gehe noch mal ins Netz und suche nach weitere Antiviren Software, und siehe da :huepp: :lach: :) dar dialer ist wohl gekillt. Mein aktueller Status der Internetverbindung ist gerade 4 STD und 49 Min. Währe er noch drauf, hätte HOTXXX die Verbindung längst unterbrochen. Das gemeine an HOTXXX ist, das es ein Trojaner ist, der sich irgenwo im Windows eingenistet hat und wahrscheinlich nach jeder Aktivierung sein Namen verändert. Deshalb finden die AV-Programme dieses Mistding nicht. Ich habe mir das kostenlose Programm von ewido security suite, "http://www.ewido.net/de/?section=buy" heruntergeladen und direkt ein update gemacht. Die Software ist noch kostenlos, aber ich denke die neue Plus Version wird was kosten. Nach dem Update habe ich den PC neu gestartet und einen Scan durchgeführt. Zwei Fehler erkannt und gelöscht. Dann noch mal neu gestartet und meine Internetverbindung ist stabil. HOTXXX ist gelöscht. Ich habe aber trotzdem vor dem Scan die Verbindungen HOTXXX gelöscht. :huepp: Dann habe ich die Einwahlnummern gelöscht.
Über Start/ Suchen Datein und Ordner, "pcconfig.dat" suchen lassen. Der versteckt sich auch im Windows. Diese Datei habe ich auch gelöscht. Bei der Software von Ewido habe ich einen Fehler festgestellt. Die Buttons sind nicht beschriftet. Warum auch immer. Wenn ihr mit dem Zeiger zu den Buttons kommt erscheint aber das Textfeld. Da müsst ihr euch ein bisschen durchfinden. Ich bin auf jeden Fall Überglücklich dieses Ding los zu sein. Verbindungsstatus: 5 STD und 9 Min. Ich hoffe ihr bekommt diesen " Dialer " von eurem PC herunter und hoffentlich hat er bei euch keine Kosten verursacht. Denn diese Scheißkerle die das ins Netz setzten, sollen nicht noch belohnt werden.
Gruß
Dondon

hallo ich bin neu hier hab auch ein dialer drin weiß aber net wie der heißt hab jetzt den escan herunter geladen der läuft auch im mom aber ich weiß net wo er gespeichert ist denn ich finde ihn net auf den pc und wenn ich suchen machen mit escan findet er den auch net wat kann ich ´machen der escan ist englisch und leider kann ich ja net mal englisch wer kann mir da helfen