porndialer Zugriff mit dw.exe

20.03.2004, 20:57
Member

Beiträge: 15
#1 Hallo,

habe ein kleines/grosses Problem. Wenn ich auf den Ordner DownloadWare gehe, bekomme ich vom G Data Virenschutz die Meldung:
Es wurde versucht auf einen Dialer zuzugreifen.
Datei: dw.exe
Verzeichnis: C:\Programme\DownloadWare
Engine: RAV-Engine
Dialer: Tool: PornDialer.EA
Ich kann weder die Datei löschen noch desinfizieren. Problem ist das erste Mal aufgetreten, als ich mit EA Sports FIFA 2003 spielen wollte,allerdings funktionierte das vorher immer Problemlos.
Habe mal das Ergebnis von Hijackthis eingefügt, vielleicht kann mir ja jemand helfen.

Logfile of HijackThis v1.97.7
Scan saved at 20:37:02, on 20.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
E:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\DownloadWare\dw.exe
C:\Programme\DelFin\PromulGate\PgMonitr.exe
C:\Programme\Virenschutz\AVKPOP.EXE
E:\0190WA~1\WARN0190.EXE
E:\Winamp3\winampa.exe
C:\WINDOWS\System32\rundll32.exe
E:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\WINDOWS\wanmpsvc.exe
E:\Overnet\Overnet.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
E:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
E:\Photo Express 2\CalCheck.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
E:\WinAce.exe
C:\DOKUME~1\Corinna\LOKALE~1\Temp\~AceTemp\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rtl.de/net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.rtl.de/net
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Virenschutz\AVKPOP.EXE"
O4 - HKLM\..\Run: [0190 Warner] E:\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [WinampAgent] "E:\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MPFExe] E:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [Overnet] E:\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Office\OSA9.EXE
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Ulead Kalendar Checker.lnk = E:\Photo Express 2\CalCheck.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.rtl.de/net
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F8EDCDA-C33A-4BB4-8619-EE33000A2FC9}: NameServer = 195.93.77.134

Wäre sehr nett, wenn mir jemand antworten würde, falls noch Infos benötigt werden, einfach schreiben.
Vielen Dank schon mal.
Corinna :-)
Seitenanfang Seitenende
20.03.2004, 22:51
Moderator
Avatar joschi

Beiträge: 6466
#2 Das dürfte raus:
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
C:\Programme\DownloadWare\dw.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H

Ich vermute auch:
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll

Als dann steht wohl mal eine Aktualisierung des IE/Windows ins Haus !!!
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
20.03.2004, 23:33
Member

Themenstarter

Beiträge: 15
#3 Hallo Joschi,

vielen, lieben Dank, es scheint funktioniert zu haben, du bist wohl mein Held :-)
Konnte jetzt auch nach Virenscan die Datei komplett löschen, sieht gut aus.
Allerdings weiss ich nicht, was du mit Aktualisierung von IE/Windows meinst, kenne mich da nicht so aus?!
Danke nochmal für deine prompte Antwort.
Lieben Gruß
Corinna
Dieser Beitrag wurde am 20.03.2004 um 23:34 Uhr von rini editiert.
Seitenanfang Seitenende
21.03.2004, 11:36
Moderator
Avatar joschi

Beiträge: 6466
#4 Aktualisierungen von Betreibssystemen (allgemein) sind unablässig.
Mit dem IE nach http://www.windowsupdate.com/ surfen.
Alles weitere wird dort erklärt. Von Vorteil ist hier eine schnelle Leitung wie DSL, da die herunter zu ladenden Updates u.U. recht umfangreich sind.

Für viele Patches ist das Servicepack 1 Voraussetzung. Das sollte, wie auch immer, als erstes mal installiert werden. via Web oder Bekannte, Freunde, die es evtl auf einer CD haben
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
21.03.2004, 12:25
Member

Themenstarter

Beiträge: 15
#5 Hallo Joschi,

danke nochmal für deine Ratschläge und Hilfe. Werde mir jetzt also mal die Updates runterladen. Vielen lieben Dank und noch einen schönen Sonntag.

Corinna
Seitenanfang Seitenende
21.03.2004, 14:35
Member

Beiträge: 17
#6

Zitat

rini postete
Hallo,

habe ein kleines/grosses Problem. Wenn ich auf den Ordner DownloadWare gehe, bekomme ich vom G Data Virenschutz die Meldung:
Es wurde versucht auf einen Dialer zuzugreifen.
Datei: dw.exe
Verzeichnis: C:\Programme\DownloadWare
Engine: RAV-Engine
Dialer: Tool: PornDialer.EA
Ich kann weder die Datei löschen noch desinfizieren. Problem ist das erste Mal aufgetreten, als ich mit EA Sports FIFA 2003 spielen wollte,allerdings funktionierte das vorher immer Problemlos.
Habe mal das Ergebnis von Hijackthis eingefügt, vielleicht kann mir ja jemand helfen.:-)
Wie zum Teufel fängt man sich eigentlich diese Sch... Porno-Dialer ein, wenn man gar keine dieser Webseiten besucht hat???? Reicht allein schon so ein blödes PopUp um sich diesen Käse einzufangen? Würde mich mal interessieren, denn diese Dinger scheinen ja immer häufiger aufzutreten.
Seitenanfang Seitenende
21.03.2004, 18:38
Moderator
Avatar joschi

Beiträge: 6466
#7 Das Problem liegt in "Active Scripting" und "ActiveX". Beides, sinvoll genutzt kann sehr praktisch und komforabel sein, birgt aber auch Risiken und Schwachstellen, die eben auch bewusst ausgenutzt werden.
Man kann nun diese "Active"-Komponenten ausschalten, oder auf andere Browser zurückgreifen ohne wirklich einen nennenswerten Nachteil damit zu haben.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
22.03.2004, 17:36
...neu hier

Beiträge: 3
#8 Hallo
habe ein kleines/grosses Problem. Wenn ich auf den Ordner DownloadWare gehe, bekomme ich vom G Data Virenschutz die Meldung:
Es wurde versucht auf einen Dialer zuzugreifen.
Datei: dw.exe
Verzeichnis: C:\Programme\DownloadWare
Engine: RAV-Engine
Dialer: Tool: PornDialer.EA
Ich kann weder die Datei löschen noch desinfizieren wir bei jeden Hochfahren angezeigt . Wie kann ich die Datei lösche.
Danke im Voraus Gruß Micha
Seitenanfang Seitenende
22.03.2004, 21:47
Moderator
Avatar joschi

Beiträge: 6466
#9 @ Racer:
Selbes Verfahren wie oben !!?
Poste mal ein Hijack-Log.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
23.03.2004, 11:49
Member

Beiträge: 17
#10

Zitat

joschi postete
Das Problem liegt in "Active Scripting" und "ActiveX". Beides, sinvoll genutzt kann sehr praktisch und komforabel sein, birgt aber auch Risiken und Schwachstellen, die eben auch bewusst ausgenutzt werden.
Man kann nun diese "Active"-Komponenten ausschalten, oder auf andere Browser zurückgreifen ohne wirklich einen nennenswerten Nachteil damit zu haben.
Welcher Browser wäre da zu empfehlen? Opera?
Seitenanfang Seitenende
23.03.2004, 23:17
Moderator
Avatar joschi

Beiträge: 6466
#11 Ist so ne Geschmackssache. Firefox, Mozilla oder Opera sind so die bekanntesten Alternativen. Von der Handhabung und div. Features gefällt mir Opera sehr gut.

Noch eine Bitte:
Keine Hijack-Logs an meine Email-Adresse oder per PM.
Bitte hier posten, dann wirds besprochen. Hat den enormen Vorteil, dass mehr Augen einen Blick darauf werfen können.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
24.03.2004, 06:44
...neu hier

Beiträge: 3
#12 Hi Joschi hier das ergebnis von Hijacjthis
Logfile of HijackThis v1.97.7
Scan saved at 21:01:40, on 23.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\DelFin\PromulGate\PgMonitr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Kazaa\kazaa.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\DownloadWare\dw.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\PROGRA~1\DATACA~1\FLashKsk.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\EasyZip\EZIP.EXE
C:\DOKUME~1\Micha\LOKALE~1\Temp\hijackthis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
O4 - HKLM\..\Run: [DataCaching] C:\PROGRA~1\DATACA~1\FLashKsk.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {9DBAFCCF-592F-FFFF-FFFF-00608CEC297C} - http://download.weatherbug.com/minibug/tricklers/AWS/minibuginstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC2FD48A-08BB-4675-AA9B-EEFD7B668C93}: NameServer = 192.168.120.252,192.168.120.253

Dialer läßt sich immer noch nicht löschen.
Gruß Micha
Seitenanfang Seitenende
24.03.2004, 09:27
Moderator
Avatar joschi

Beiträge: 6466
#13 O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup

Sollte dw.exe als laufender Prozess im Taskmanager aufgeführt sein, so versuche, den Prozess zu beenden und anschl den kompletten Ordner der dw.exe zu löschen.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
24.03.2004, 17:18
...neu hier

Beiträge: 3
#14 Hi Joschi
Soll ich die Dateien O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
auch mit dem Hijackthis herauslöschen?
Gruß micha
Seitenanfang Seitenende
24.03.2004, 17:58
Moderator
Avatar joschi

Beiträge: 6466
#15 Ja, das meinte ich, als ich diese Zeile angeführt habe- löschen.
Hast Du generell mal Adaware oder Spybot verwendet. Beide sind sehr empfehlenswert, was das Aufspühren und Entfernen von Spyware betrifft.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: