xxxDialer problem...hilfe!

#1 Hallo
Ich muss mir durch ein chatprogramm einen sexdialer eingefangen haben, da ich auf einen gepostet link (ja ich weiß das war dumm) geklickt habe und sich diverse sexseiten geöffnet haben und seit dem habe ich dieses problem.

Problem:
Meistens wenn ich ICQ öffne kommt eine sekunde lang ein kleines fenster (auf dem ldr.exe steht) und dann
öffnet sich eine sexseite auf dem eine beschreibung steht wie ich mich anmelden kann usw. Im oberen bereich kann ich auf "trennen" oder auch "deinstallieren" klicken kann, natürlich habe ich sofort auf "deintallieren" geklickt und dies wurde dann auch ausgeführt doch nach einiger zeit öffnet sich wieder diese seite und in meinem laufwerk C finde ich folgende dateien immer wieder: dll (mit einem frauenmotiv als icon), hooks.dll und die anwendung ldr (habe ich natürlich auch immer gelöscht aber diese kommen immer wieder).
Habe schon viele programme runtergeladen wie: Spywareblaster, Yaw, Ad-Aware, Spybot search & destroy, trojanercheck und 0190 warner aber diese programme helfen alle nichts. Ich bin schon wirklich am verzweifeln und kenne mich auch nicht wirklich super mit computern aus. Ich bitte um hilfe.

Hier noch HijackThis:
Logfile of HijackThis v1.98.2
Scan saved at 12:32:45, on 15.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\mcc.exe
C:\Programme\aiepk.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\a2\a2guard.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Firebird\Bin\ibguard.exe
C:\PROGRA~1\Firebird\Bin\ibserver.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\datalock!\datalock - crypt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Photoshop 6.0\Photoshp.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\aflxs.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\aflxs.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\aflxs.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\aflxs.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\aflxs.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\aflxs.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {205DF8D3-61F8-8A69-EF22-B24BFD28CEAC} - C:\WINDOWS\system32\sysha.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [UT200xCdKeySecurer] C:\Programme\UTProfMan\UTKeySecure2.exe /STARTUP
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKLM\..\Run: [aiepk] C:\Programme\aiepk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mfcka32.exe] C:\WINDOWS\system32\mfcka32.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {B62285F8-C02B-4BE1-951A-BF42E1EF6015} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {B62285F8-C02B-4BE1-951A-BF42E1EF6015} - (no file)
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Corel Network monitor worker - {B62285F8-C02B-4BE1-951A-BF42E1EF6015} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {B62285F8-C02B-4BE1-951A-BF42E1EF6015} - (no file) (HKCU)
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EB05313-1690-419B-A8A3-C510BB3881DB}: NameServer = 194.25.2.129

Schonmal danke für die antworten.

Gruß
Skog

#2 Hallo @Skog

Fixe mit dem HijackThis, dann PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\aflxs.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\aflxs.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\aflxs.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\aflxs.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\aflxs.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\aflxs.dll/sp.html#96676
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {205DF8D3-61F8-8A69-EF22-B24BFD28CEAC} - C:\WINDOWS\system32\sysha.dll

O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKLM\..\Run: [mfcka32.exe] C:\WINDOWS\system32\mfcka32.exe
O4 - HKLM\..\Run: [aiepk] C:\Programme\aiepk.exe
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {B62285F8-C02B-4BE1-951A-BF42E1EF6015} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {B62285F8-C02B-4BE1-951A-BF42E1EF6015} - (no file)
O9 - Extra button: Corel Network monitor worker - {B62285F8-C02B-4BE1-951A-BF42E1EF6015} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {B62285F8-C02B-4BE1-951A-BF42E1EF6015} - (no file) (HKCU)

neustarten

#Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#Oeffne noch mal das HijackThis

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\system32\hooks.dll < PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\system32\ldr.exe <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\system32\sysha.dll <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\mcc.exe < PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren
C:\WINDOWS\system32\mfcka32.exe <PC neustarten

Loesche:
C:\Programme\aiepk.exe [IE Popup Killer Fadsoft.com.]

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

#Sphj.fix
<.sp.html (obfuscated)<
http://www.rokop-security.de/main/article.php?sid=746
____________________________________________________________________


#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials
<gehe in den abgesicherten Modus und scanne und dann im Normalmodus noch mal
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
#Nachrichtendienst
Starttyp-Empfehlung: DEAKTIVIERT
"Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern.
(wird auch von Spyware-Software "gekapert"


Dann stelle eine neue Startseite ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo danke für deine antwort aber ich hab das problem irgendwie gelöst, da der virus ja immer kam als ich icq öffnete, hab icq gelöscht und miranda intalliert, ja jetzt installieren sich diese dateien nicht mehr und das problem ist weg.

Viele Grüße
Skog

#4 ich weiß nicht wie sie draufkommen , aber ich hab auch einige porno dialer auf dem pc ich hab schon mit diversen gratis virus scannern versucht sie wegzukriegen (z.B. bit defender-free) kann mir bitte jemand helfen oder muss ich mir ein programm kaufen hier ist der scan bericht

D:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DU3KTEV\chm[1].htm Infiziert Exploit.Html.MhtRedir.Gen
D:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DU3KTEV\chm[1].htm Desinfizierung nicht durchgeführt
D:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DU3KTEV\chm[1].htm Verschoben
D:\WINDOWS\system32\scagent.exe Infiziert Trojan.Downloader.Silly.BF
D:\WINDOWS\system32\scagent.exe Desinfizierung nicht durchgeführt
D:\WINDOWS\system32\scagent.exe Verschoben
D:\WINDOWS\system32\windrv.dll Infiziert Trojan.Downloader.Silly.BF
D:\WINDOWS\system32\windrv.dll Desinfizierung nicht durchgeführt
D:\WINDOWS\system32\windrv.dll Verschoben
Geprüfte Dateien

gruß lars

ps: ich finds cool dass es so ein security forum gibt , respekt

#5 Hallo@lars2

-->Löschen/mit der Killbox:
KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
http://www.bleepingcomputer.com/files/killbox.php

D:\WINDOWS\system32\scagent.exe
D:\WINDOWS\system32\windrv.dll

neustarten

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k


HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Logfile of HijackThis v1.98.2
Scan saved at 14:44:11, on 17.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\ICQLite\ICQLite.exe
D:\WINDOWS\Mixer.exe
D:\WINDOWS\soundman.exe
D:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
D:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
D:\Programme\Toolbar\TBPS.exe
D:\WINDOWS\System32\rundll32.exe
D:\Program Files\webHancer\Programs\whAgent.exe
D:\Dokumente und Einstellungen\Lars\Eigene Dateien\downloads\eDonkey2000\eDonkey2000.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\BestPopUpKiller\BestPopupKiller.exe
D:\windows\winln.exe -->Troj/Dloader
D:\Programme\AnVir Virus Destroyer\AnVir.exe
D:\Programme\Toolbar\PIB.exe
D:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
D:\Programme\Avant Browser\avant.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\System32\wpabaln.exe
D:\Dokumente und Einstellungen\Lars\Eigene Dateien\downloads\HijackThis.exe

#7 Hallo@lars2

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Start<Ausfuehren<cmd

kopiere rein:
D:\Programme\Toolbar\TBPS.exe uninst

enter<

D:\Programme\Toolbar\PIB.exe uninst

enter<

D:\Programme\Gemeinsame Dateien\WinTools\WSup.exe uninst

<enter

del D:\windows\winln.exe

<enter

Loesche:
D:\windows\winln.exe

fierm.exe
ploint.exe
D:\WINDOWS\madopew.dll
setfgi.dll
vcsystem.exe
sipot.exe

C:\Programme\Toolbar\toolbar.dll

D:\PROGRA~1\GEMEIN~1\WinTools
D:\Programme\Toolbar\TBPS.exe
D:\Programme\Toolbar\PIB.exe

D:\Program Files\webHancer\
falls dort eine dll vorhanden ist, so loesche sie nicht manuell, sondern indem du dieses Tool oeffnest und die dll von der linken auf die rechte Seite bringst ud loeschst. -->>>
#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing"

abarbeiten, bitte
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

das HijackThis ist nicht komplett abkopiert und du solltest das laden:
HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
__________
MfG Sabina

rund um die PC-Sicherheit