Global Dialer entfernen - Problem |
||
|---|---|---|
| #0
| ||
|
21.01.2004, 06:04
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
21.01.2004, 11:34
Moderator
 Beiträge: 6466 |
#2
Eine spoolsv.ex gibt es wohl, jedoch finde ich auf meinem System keine Spoolssv.exe.
Ebenso diese winh.exe.....mir unbekannt. Könnte evtl eines dieser Dialer-Warner-Programme dieses Malware unscädlich machen ? Habe keine Erfahrung mit den Programmen. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
|
21.01.2004, 11:52
Moderator
Beiträge: 7805 |
#3
Fixe mal folgendes:
O1 - Hosts: 205.177.124.66 auto.search.msn.com O4 - HKLM\..\Run: [Winhost] C:\WINNT\winh.exe O4 - HKLM\..\Run: [spoolsvv] C:\WINNT\system32\spoolsvv.exe -invisible O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\wordi00043\3000143.exe -remove O16 - DPF: {38545C2A-03CD-42C3-BC62-C537A6D5A8F6} (38545C2A-03CD-42C3-BC62-C537A6D5A8F6) - http://download.globaldialer.net/GlobalDialer_de.cab O16 - DPF: {886DDE35-E955-11D0-A707-000000521958} - http://69.56.176.78/webplugin.cab O16 - DPF: {BB0578ED-E672-4697-9663-EC5A0460B949} (SomaticCAB.Setup) - http://downloads.searchcentrix.com/install/weblz.CAB O19 - User stylesheet: C:\WINNT\hh.htt (HKLM) dann neu starten. Es waere nett, wenn du folgende Dateien an virus@protecus.de schicken koenntest: C:\WINNT\system32\spoolsvv.exe -invisible C:\WINNT\winh.exe C:\WINNT\Cleantif.vbs Du solltest danach auch noch mal Adaware, Spybot und CWshredder installieren, die dir die Dateien und andere Registry Eintraege loeschen koennen. Links zu den Porgrammen gibt es hier: http://board.protecus.de/t7408-1.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
21.01.2004, 17:34
Member
Beiträge: 54 |
#4
Hallo Raman,
die spoolssv.exe hab ich mir gerade heruntergeladen. Die gehört zu dem Somati~1.exe Kram. Da gibt es übrigens auch noch mehr Zeug... __________ (-- Rokop --) www.rokop-security.de |
|
|
|
|
|
|
21.01.2004, 19:15
...neu hier
Themenstarter Beiträge: 6 |
#5
Hi raman,
ich habe die o.g. Einträge gefixed, ohne Besserung beim nochmaligen Scannen mit Ad-Aware und Spybot. Hier mein aktueller Scan. Außerdem hängt auf einmal im Explorer auf der rechten Seite an Laufwerk C: ein Smiley und der Rechner meckert wegen der ungültigen Laufwerksbezeichnung. Linke Seite im Explorer ist okay und funktioniert fehlerfrei. Das Internet läuft seit dem Fix viel langsamer (Datenübertragungsrate). Die Dateien winh.exe sowie spoolssv.exe sind nicht auf dem System zu finden, ich habe auch vor dem fixen gesucht, glaube das spiel aber keine Rolle. Das Script habe ich euch gemailt. Bitte um weitere Hilfe. Logfile of HijackThis v1.97.7 Scan saved at 19:13:42, on 20.01.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\Ati2evxx.exe d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\crypserv.exe C:\WINNT\System32\svchost.exe d:\Programme\GFI\LANguard Network Security Scanner 3 beta3\sscansvc.exe C:\WINNT\Explorer.EXE O:\xwamp\minixampp\mysql\bin\mysqld-nt.exe C:\Programme\OO Software\CleverCache\OOCCSVC.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\MsPMSPSv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\devldr32.exe D:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb01.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Cherry\Power Wheel Mouse\Awmmain.exe C:\WINNT\system32\Fmctrl.EXE D:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINNT\system32\internat.exe C:\Programme\frnDSL\frnDSL.exe C:\Programme\Internet Explorer\iexplore.exe D:\Programme\hijack\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de O1 - Hosts: 205.177.124.66 auto.search.msn.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb01.exe O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WheelMouse] C:\Programme\Cherry\Power Wheel Mouse\Awmmain.exe O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AHQInit] d:\Programme\Creative\SBLive2k\Program\AHQInit.exe O4 - HKLM\..\Run: [AudioHQ] d:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [Omnipage] D:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [CleanTIF] WScript.exe C:\WINNT\Cleantif.vbs O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Felix II] C:\Program Files\ScreenMates\Felix II\De\Felix2.exe O8 - Extra context menu item: Sothink SWF Decompiler - d:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm O9 - Extra button: SWFDecompiler (HKLM) O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler (HKLM) O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {38545C2A-03CD-42C3-BC62-C537A6D5A8F6} (38545C2A-03CD-42C3-BC62-C537A6D5A8F6) - http://download.globaldialer.net/GlobalDialer_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38006.8130671296 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify306.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{16B91BCB-B4B7-4446-8F12-BEC43CFC641C}: NameServer = 194.97.3.83 194.97.173.125 O19 - User stylesheet: C:\WINNT\hh.htt (HKLM) |
|
|
|
|
|
|
21.01.2004, 19:20
Moderator
Beiträge: 7805 |
#6
Da ist mir wohl irgendwo ein Teil von CWS durch die Lappen gegangen. Nimm mal den Cleaner von dieser Seite: http://merijn.org/cwschronicles.html
Diese beiden Eintraege sollten auch noch gefixt werden, den rest sollte der Cleaner machen: O1 - Hosts: 205.177.124.66 auto.search.msn.com O16 - DPF: {38545C2A-03CD-42C3-BC62-C537A6D5A8F6} (38545C2A-03CD-42C3-BC62-C537A6D5A8F6) - http://download.globaldialer.net/GlobalDialer_de.cab -... und nicht vergessen dein Windows upzudaten, sonst wirst du CWS nie los! __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
21.01.2004, 20:06
...neu hier
Themenstarter Beiträge: 6 |
#7
Gratulation, raman alles in Ordnung. Thanx a lot mehr Leute deines Schlages und das www ist auch wieder in Ordnung.
Gruß Knista |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich will mir nicht die Regestrie fritten deshalb mal eine Frage zum Global Dialer. Nachdem ich die neusten Adaware + Spybot + Win updateversionen ausgeführt habe und auch jede Menge Dialer gefunden wurden (zum Glück DSL), hier ein Auszug meines Logfiles, ich probier schon seit Tagen den Dialer zu entfernen ohne Erfolg. Außerdem meldet Adaware ständig ne neue Zecke, nämlich auto.search.msn.com redirect. Die spoolssv.exe scheint mir auch nicht ganz koscher aber ich frag lieber einen Experten hier um Hilfe. Bitte schaut euch das mal an:
keine Firewall, kein Antivirusproggi.
Logfile of HijackThis v1.97.7
Scan saved at 05:54:26, on 20.01.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\crypserv.exe
C:\WINNT\System32\svchost.exe
d:\Programme\GFI\LANguard Network Security Scanner 3 beta3\sscansvc.exe
O:\xwamp\minixampp\mysql\bin\mysqld-nt.exe
C:\Programme\OO Software\CleverCache\OOCCSVC.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
D:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Cherry\Power Wheel Mouse\Awmmain.exe
C:\WINNT\system32\Fmctrl.EXE
D:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINNT\system32\internat.exe
C:\programme\GlobalDialer\wordi00043\3000143.exe
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\hijack\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O1 - Hosts: 205.177.124.66 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\Cherry\Power Wheel Mouse\Awmmain.exe
O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AHQInit] d:\Programme\Creative\SBLive2k\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] d:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [Winhost] C:\WINNT\winh.exe
O4 - HKLM\..\Run: [Omnipage] D:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINNT\system32\spoolsvv.exe -invisible
O4 - HKLM\..\Run: [CleanTIF] WScript.exe C:\WINNT\Cleantif.vbs
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Felix II] C:\Program Files\ScreenMates\Felix II\De\Felix2.exe
O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\wordi00043\3000143.exe -remove
O8 - Extra context menu item: Sothink SWF Decompiler - d:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: SWFDecompiler (HKLM)
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler (HKLM)
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {38545C2A-03CD-42C3-BC62-C537A6D5A8F6} (38545C2A-03CD-42C3-BC62-C537A6D5A8F6) - http://download.globaldialer.net/GlobalDialer_de.cab
O16 - DPF: {886DDE35-E955-11D0-A707-000000521958} - http://69.56.176.78/webplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38006.8130671296
O16 - DPF: {BB0578ED-E672-4697-9663-EC5A0460B949} (SomaticCAB.Setup) - http://downloads.searchcentrix.com/install/weblz.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify306.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16B91BCB-B4B7-4446-8F12-BEC43CFC641C}: NameServer = 194.97.173.125 194.97.3.83
O19 - User stylesheet: C:\WINNT\hh.htt (HKLM)