Wie entferne ich den dialer "carpediem" richtig?

#0
25.06.2004, 11:12
...neu hier

Beiträge: 10
#1 Hallo,

ich habe seit gestern den dialer carpediem auf dem rechner. Er setzt sich auf
c:/programme/carpediem nieder und führt die datei bondage2.exe aus. mit im verzeichnis ist noch eine datei namens cdupdater.exe. mein antivirus programm norton 2004 erkennt ihn und löscht ihn auch, aber er kommt immer wieder.
weiß jemand wie man ihn ganz wegbekommt? ich finde dazu leider nichts im web.

ich poste auch mal den hijack-log.

Logfile of HijackThis v1.97.7
Scan saved at 11:11:49, on 25.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
D:\Programme\DaemonTools\daemon.exe
C:\WINDOWS\System32\RunDll32.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\browse.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
D:\Programme\FlashFXP v3.0\flashfxp.exe
D:\Programme\Macromedia\Dreamweaver MX\Dreamweaver.exe
E:\progz\Lil'Progz\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3C883E80-6EFE-42CF-9688-FA8747C46728} - C:\WINDOWS\System32\lma.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\DaemonTools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [StartMenu] C:\WINDOWS\browse.exe /i
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/18228d35ce619e9f1005/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38096.3456828704
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44DB80A0-534D-40E8-9DFE-1F6CAB5DC907}: NameServer = 217.237.151.161 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{44DB80A0-534D-40E8-9DFE-1F6CAB5DC907}: NameServer = 217.237.151.161 194.25.2.129


danke
gruss
Seitenanfang Seitenende
25.06.2004, 16:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 scanne mit dem HijackThis, hake an, was ich poste und fix


O2 - BHO: (no name) - {3C883E80-6EFE-42CF-9688-FA8747C46728} - C:\WINDOWS\System32\lma.dll (file missing)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [StartMenu] C:\WINDOWS\browse.exe /i

neustarten

ueberpruefe C:\WINDOWS\browse.exe mit Kaspersky
Poste bitte, was da angezeigt wird.
http://www.kaspersky.com/scanforvirus


lade mwav.exe ...30 Tage free und scanne
Poste dann, was das Tool gefunden hat.
http://www.mwti.net/antivirus/free_utilities.asp

....................................................................................................
Gehe in den abgesicherten Modus.
Dazu drueckst du die Taste F8 beim Hochfahren.

#loesche C:\WINDOWS\System32\lma.dll

#dort scannst du noch einmal mit dem Norton und der mwav.exe.

#Dann suchst du, ob der Dialer noch da sind...mit der Suchfunktion von Windows.
bondage2.exe .und cdupdater.exe manuell loeschen......

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.06.2004 um 16:26 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.06.2004, 17:42
...neu hier

Themenstarter

Beiträge: 10
#3 hallo,
erstmal danke für deine mühe.

Also, ich hab das so gemacht wie du das geschrieben hast.
weder http://www.kaspersky.com/scanforvirus noch http://www.mwti.net/antivirus/free_utilities.asp hat irgendwas gefunden. dann wollte ich im abgesicherten modus starten aber das ging nicht. nachdem ich es ausgewählt hatte blieb der rechner stehen. schwarzer bildschirm und im oberen linken eck ein blinkender cursor. mehr nicht!

die datei lma.dll gibt es gar nicht (mehr). und norton und mwav.exe hat auch nichts mehr gefunden. und auch keine datei des Dialer mehr da.

ich hoffe das es dabei auch bleibt. wenn nicht dann versuch ichs nochmal und melde mich wieder.

danke.
gruss
Seitenanfang Seitenende
26.06.2004, 00:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 C:\WINDOWS\browse.exe ...C:\WINDOWS\BROWSE.EXE wird als Virus erkannt...hat der Kaspersky und die mwav.exe wirklich nichts zu beanstanden gehabt ?

wuerde ich trotzdem genauer beauegen ...am besten loeschen....es sei denn, du weisst , was das ist.
Nimm es wenigstens aus dem Autostart durch das Fixen mit dem HijackThis.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.06.2004 um 00:22 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: