GMsoft Dilar - wie beseitigen ?

#1 Hallo,

Ich würde gerne den GMsoft Dilar losweden. Keine Ahnung was der anrichtet, aufjedenfall nervt er mich so langsam. Seitdem ich ihn hab wurde meine Startseite geändert, an meinen Cookies rumgefummelt etc.
Zusätzlich hab ich noch nen horny_de-Dilar in der Taskleiste, wo man "trennen", "verbinden" und "installation rückgängig machen" auswählen kann. Dieser Dilar wird natürlich nicht gelöscht, wenn man auf "installtion rückgängig" klickt bzw. kommt jedes mal wieder.

Ich hab versucht mit CWSschredder, Ad-aware und noch irgendein anderes Programm die Dinger loszuwerden, aber ohne Erfolg. Ad-aware findet immer mindestens 4 Teile namens : GMsoftdilar (type :Regkey, Folder, File).
Zudem findet Ad-aware noch diverse Tracking Cookies.
Entfernen kann man so oft wie man will, sie kommen jedes mal wieder.

Danke schonmal !

EDIT : Mist. Falsches Forum, sry. Sollte eigentlich ins Mailwareforum.

#2 Danke schonmal
so hier die logfile :

Logfile of HijackThis v1.97.7
Scan saved at 19:44:00, on 11.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
E:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\GMSoft\Dialers\Horny_de\Horny_de.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Dop0r\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Horny_de] C:\Program Files\GMSoft\Dialers\Horny_de\Horny_de.exe /dontdial
O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/135cafd4c5dd8c4c7d01/netzip/RdxIE601_de.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

#3 Zuerst bitte das heir runterladen und ausführen
http://www.merijn.org/files/cwshredder.zip

Dann sollte dieser Eintrag weg sein
O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe

wenn nicht dann teste diese Date bei
http://www.kaspersky.com/de/remoteviruschk.html
Wenn Virus. dann Fixen

Danach Fixe bitte dies

O4 - HKLM\..\Run: [Horny_de] C:\Program Files\GMSoft\Dialers\Horny_de\Horny_de.exe /dontdial


Diese könne müßen aber nicht raus
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://207.188.7.150/135cafd4c5dd8c4c7d01/netzip/RdxIE601_de.cab

dann neustart
Poste dann das log nochmal, zur Sicherheit

Gruß paff

P.S.
und besuch mal wieder www.windowsupdate.com
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#4 cwshredder hat nix gefunden und als ich : http://www.kaspersky.com/de/remoteviruschk.html
benutzen wollte, fand ich die mdmdll.exe im system32-Ordner nicht (c:\windows\system32\mdmdll.exe).

Als ich nach der Datei mit der Suchfunktion im Startmenü gesucht hab, hab ich nur das hier gefunden :
C:\WINDOWS\Prefetch\MDMDLL.exe-1AF53DDF.pf (keine Ahnung ob das von Bedeutung ist)

*schulterzuck*
Danke nochmals für deine Mühe

EDIT : Achja, Hicjackthis findet : O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe immer noch

#5 Fixe bitte den Eintrag
O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe

und poste nochmal das logfile bitte

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#6 So hab ihn und die anderen drei Dinger gefixt und hijackthis findet sie, wie es ausschaut, auch nicht mehr. ... Ist der ganze Mist jetzt futsch oder muss ich noch was machen ?




Logfile of HijackThis v1.97.7
Scan saved at 19:08:47, on 12.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
E:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\GMSoft\Dialers\Horny_de\Horny_de.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System\services.exe
C:\windows\system32\msmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Real\RealOne Player\RealPlay.exe
C:\Dokumente und Einstellungen\Dop0r\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore
F1 - win.ini: run=c:\windows\system32\msmon.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Msmon] c:\windows\system32\msmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe
O4 - HKCU\..\Run: [Msmon] c:\windows\system32\msmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

#7 Hi da ist ja noch ne Menge drin

FIxe bitte das hier
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe
Link dazu
http://www.symantec.com/avcenter/venc/data/w32.hllw.kazping.html


Checke mal die Datei
c:\windows\system32\msmon.exe
bei
http://www.kaspersky.com/de/remoteviruschk.html

Wenn Sie eine Virus enthält dann fixe bitte diese EInträge
F1 - win.ini: run=c:\windows\system32\msmon.exe
O4 - HKLM\..\Run: [Msmon] c:\windows\system32\msmon.exe
O4 - HKCU\..\Run: [Msmon] c:\windows\system32\msmon.exe
(Wirklich 2*vorhanden)

dann neustart
und schau dann im logfile nach ob die Einträge dann immer noch weg sind.
Da ist wichtig!!!!!!!!!

Gruß paff
P.S. KAnnst auch gerne das Logfile nochmal posten
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#8 Nachdem ich : O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe mit Hijackthis( oder sollte ich hier: http://www.symantec.com/avcenter/venc/data/w32.hllw.kazping.html etwas zum fixen downloaden ? -hab nix gefunden bis auf ellenlange Beschreibungen und Definitonen) gefixt hab, waren die drei Dinger :
F1 - win.ini: run=c:\windows\system32\msmon.exe
O4 - HKLM\..\Run: [Msmon] c:\windows\system32\msmon.exe
O4 - HKCU\..\Run: [Msmon] c:\windows\system32\msmon.exe
auch nach dem Neustart weg.

Also konnt ich c:\windows\system32\msmon.exe bei http://www.kaspersky.com/de/remoteviruschk.html auch nicht finden bzw überprüfen

Dafür hab ich jetzt drei ähnliche Dinger drauf :
F1 - win.ini: run=c:\windows\system32\modeminf.exe
O4 - HKLM\..\Run: [Modeminf] c:\windows\system32\modeminf.exe
O4 - HKCU\..\Run: [Modeminf] c:\windows\system32\modeminf.exe


Bei c:\windows\system32\modeminf.exe wurde : "TrojanDownloader.Win32.Crypt " gefunden, den ich gerade gefixt habe. Nach dem Neustart hat Hijackthis auch nix mehr ähnliches gefunden

Naja ich bin ja den horney-dingens dilar los, also bin ich gluecklich
Die anderen Dinger koennen ruhig drauf bleiben solang sie mich nicht nerven.
Danke jedenfalls, paff

#9 Hi Rattich

Klasse das du alles los geworden bist.

Poste bitte trotzdem nochmal dein HiJackThis Logfile
Nur so zum Überprüfen.

Gruß paff

Bitte auch mal www.windowsupdate.com besuchen.
Dein Windows ist nicht ganz aktuell.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#10 Logfile of HijackThis v1.97.7
Scan saved at 22:16:07, on 15.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
E:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Real\RealOne Player\RealPlay.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Dop0r\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Jo stimmt windowsupdate muss ich noch machen

#11 Das sieht jetzt sehr gut aus
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#12 Hatte mir ebenfalls den GMSoft Dialer eingefangen (Spyware Nuker hatte einige Einträge in der Registry entdeckt). Alle infizierten Dateien sind wie bei Symantec beschrieben entfernt worden und laut diversen Dialer-Detectoren sind auch keine Spuren mehr vorhanden. Allerdings war bei Symantec auch die Rede davon, dass sich das Ding als neuer MIME Typ mit den Extensions GMST2 oder PMXY registriert. Diese sollten ebenfalls entfernt werden. Diese waren aber gar nicht vorhanden. Auch hat der Dialer kein Shortcut Symbol auf dem Desktop installiert und die .exe -Datei (wie z.b. horny_exe.) wurde auch nicht gefunden. Laut Symantec sollte das aber vorhanden sein. Kann es sein, dass der Dialer gar nicht richtig funktioniert hat oder sich nicht vollständig installieren konnte? Ich will nur sicher gehen, dass ich nichts übersehen habe. Aber wie gesagt - so wie beschrieben hat sich das Ding auf meinem PC nicht gezeigt.

Noch eine Frage: Ich weiß nicht, wie lange dieses Ding schon auf dem Computer war. Daher bin ich sehr beunruhigt. Weiß jemand, ob bei T-Online auch die zb. 0900 /0190 o.ä. teure Verbindungen in der Online-Rechnung aufgeführt werden? Bis jetzt ist nämlich nichts von erhöhten Beträgen zu erkennen.

Wäre um jeden Rat dankbar.
Kat

Betriebssystem: XP
DSL, ISDN