Hilfe - Dialer-Alarm
 

Moinsen
gestern abend hatte ich urplötzlich einen ganz merkwürdigen Dialer auf meinem Rechner. Ich konnte meine Mails z.B. abrufen ohne dass ich zu meinem normalen Anbieter verbunden war. Unter Netzwerkverbindung war jedoch auch keine andere Verbindung zu sehen. auf dem Desktop erschien plötzlich eine xxx-verknüpfung. Andauernd öffneten sich Internet Explorer Fenster mit dieser Casino-Seite oder anderer Müll. Dabei nutze ich den IE nie, sondern bin schon länger auf Mozilla umgestiegen.
Ich habe AntiVir, 0190-warner, ad-aware, spybot und regclean laufen lassen und antivir geupdated. der hat dann auch paar sachen gefunden und geänderte registry-einträge geändert. Ich denke das Problem ist jetzt aus der Welt, denn es gehen keine Fenster mehr auf und die xxx-verknüpfung kommt auch nicht mehr (löschen hatte bei den ersten Malen nichts gebracht. paar minuten nach dem neustart war sie wieder da).

Da ich DSL habe kann mir ja Dialer-mässig eigentlich nichts passieren, oder haben die Programmierer von diesem Scheiss da inzwischen Lücken gefunden?
(Ich hab kein Modem angeschlossen)

Was mir jetzt allerdings noch komisch vorkommt ist, dass der 0190-Warner mir immer zwei Verbindungen anzeigt. Und zwar einmal Arcor, und ausserdem als Anwendung c:/windows/explorer.exe. Wenn ich eine Verbindung zu Arcor herstelle kommt zunächste diese explorer.exe und eine sekunde später die arcor-verbindung. Da ich ja DSL habe hatte ich das Programm nur anfangs mal kurz an, dachte mir aber das ich das eh nicht brauch. Ich kann es nicht genau sagen aber ich glaube damals hat er das mit explorer.exe nicht angezeigt. Deshalb frage ich mich jetzt ob da vielleicht was faul ist.
Das Teil hat mir gestern übrigens auch die ganze Zeit angezeigt das versucht wurde die Startseite in coolsearch.biz zu ändern und so konnte ich das auch damit unterbinden....

Wäre nett wenn mir jemand antworten könnte was er von der Sache hält, mir Entwarnung geben würde oder wenn es doch irgendwas ist, sagen würde wie ich den Scheiss weg bekomme.

Schonma Danke!!!

Hallo IHateTrojans,

ich linke Dir zunächst einen Beitrag ein, der Dir eine umfassende Information zu Dialern und DSL geben kann: Dsl und Dialer - geht das überhaupt?

Es empfiehlt sich windows zu updaten: http://v4.windowsupdate.microsoft.com/de/default.asp
und den IE stets richtig konfiguriert und geupdatet zu halten, auch dann, wenn Du ihn nicht verwendest: http://www.datenschutzzentrum.de/sel...sie/config.htm

Vielleicht postest Du ein logfile Deines Systems laut folgender Anleitung http://www.trojaner-board.de/51130-a...ijackthis.html damit können wir erkennen, ob Dein System Schwachpunkte aufweist.

Lieben Gruss
SD

Oh super, vielen Dank.
Update ist gemacht, ein Dialer kann bei mir keine Telefonkosten verursachen, da bin ich ja schonmal sehr beruhigt.

Meine Logfile sieht folgendermassen aus:

Logfile of HijackThis v1.97.7
Scan saved at 08:00:41, on 20.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WindUpdates\WinUpdt.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Program Files\WindUpdates\WinKA.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092981096701
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...wflash5r42.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A501ACFA-0A68-49D5-B174-A142E66FFEE1}: NameServer = 145.253.2.11 145.253.2.171

Schönen Tag noch :)

Bitte stets aktuelle Versionen von HijackThis (und allg. auch anderer Software) nutzen!

Das sind Malware-Einträge, die zu fixen wären:
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe


Diese Datei:
C:\Program Files\WindUpdates\WinUpdt.exe

...bitte hier prüfen:
http://www.kaspersky.com/de/scanforvirus

Ergebnis?

So hab die drei Sachen gelöscht
und das Teil auf der Seite geprüft wo sich dein Verdacht bestätigt hat:

WinUpdt.exe Infiziert: TrojanDownloader.Win32.Agent.bf

Was für ein Scheiss. Als ich das auf der Seite testen wollte hat mir der Antivir die ganze Zeit dazwischen gefunkt weil der das auch als Trojaner erkannt hat. Löschen geht aber nicht. Ist danach immer noch da. Soll ich das jetzt einfach in dem Verzeichnis löschen oder wie bekomm ich das weg?

Nochmal danke für die Hilfe. Sorry auch wenn das jetzt so lang gedauert hat aber bin eben erst von der Arbeit nach Haus gekommen....

uppala, einfach löschen geht auch nicht - Zugriff verweigert!!! Scheiss teil

Hallo IHateTrojans,

ich nehme an, dass Du den 'TrojanDownloader.Win32.Agent.bf ' mit eScan löschen kannst. Einen Link und Anweisung zu eScan findest Du in meiner Signatur unter TI Hijacker-Rubrik. Bitte update eScan online und scanne Dein System damit offline in abgesicherten Modus.

Desweiteren empfehle ich Dir über einen anderen Browser nachzudenken, es gibt Browser, die genauso schnell, aber sicherer als der IE sind. Mehr dazu in meiner Signatur unter TI Hijacker-Rubrik ---> Vorbeugung.

Melde Dich bitte, wenn Du weitere Fragen hast.

Lieben Gruss
SD

Versuch die Datei im abgesicherten Modus zu löschen.
Dann brauchst du auch bei dieser Datei kein eScan mehr.

So, zwei Stunden hat escan gestern abend gebraucht. und das nach nem anstrengenden Arbeitstag ;D
Dieser TrojanDownloader wurde mindestens 20 Mal gefunden, über 90 Dateien insgesamt. Krasse Sache.
Jetzt hab ich aber noch ne Frage. Bei manchen Sachen hat er gesagt: Aktion taken: File deleted. Das ist ja okay. Bei anderen sagte er: Aktion taken: File renamed. Ist der scheiss dann nicht immer noch auf der Platte???

Heute morgen hat AntiVir wieder ne trojaner-meldung gebracht. den hab ich gelöscht und seit dem ist erstmal ruhe.

Ich hoffe ich bin den scheiss jetzt los....

Nochmal vielen vielen Dank

So vier fünf mal am Tag bringt AntiVir nochmal ne Meldung. Meint ihr das Scheissteil ist noch da??? Also diese winupdt Datei ist definitiv weg und kommt auch nicht mehr. Aber Das Teil war ja so oft auf der Platte, könnte ja einmal übersehen worden sein....

Wünsch euch einen angenehmen Arbeitstag....

Wo und in welcher Datei findet Antivir denn den Virus?

Dein System war kompromittiert, es gibt keine Software, die 100%ig sicherstellen kann, dass nichts zurückgeblieben ist. Der einzig wirklich sichere Weg wäre eine Neuinstallation:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen, ein Antivirenprogramm schadet auch nichts, sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen