GMsoft Dilar - wie beseitigen ?

#0
11.03.2004, 03:31
...neu hier

Beiträge: 10
#1 Hallo,

Ich würde gerne den GMsoft Dilar losweden. Keine Ahnung was der anrichtet, aufjedenfall nervt er mich so langsam. Seitdem ich ihn hab wurde meine Startseite geändert, an meinen Cookies rumgefummelt etc.
Zusätzlich hab ich noch nen horny_de-Dilar in der Taskleiste, wo man "trennen", "verbinden" und "installation rückgängig machen" auswählen kann. Dieser Dilar wird natürlich nicht gelöscht, wenn man auf "installtion rückgängig" klickt bzw. kommt jedes mal wieder.

Ich hab versucht mit CWSschredder, Ad-aware und noch irgendein anderes Programm die Dinger loszuwerden, aber ohne Erfolg. Ad-aware findet immer mindestens 4 Teile namens : GMsoftdilar (type :Regkey, Folder, File).
Zudem findet Ad-aware noch diverse Tracking Cookies.
Entfernen kann man so oft wie man will, sie kommen jedes mal wieder.

Danke schonmal !

EDIT : Mist. Falsches Forum, sry. Sollte eigentlich ins Mailwareforum.
Dieser Beitrag wurde am 11.03.2004 um 03:39 Uhr von Rattich editiert.
Seitenanfang Seitenende
11.03.2004, 19:47
...neu hier

Themenstarter

Beiträge: 10
#2 Danke schonmal ;)
so hier die logfile :

Logfile of HijackThis v1.97.7
Scan saved at 19:44:00, on 11.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
E:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\GMSoft\Dialers\Horny_de\Horny_de.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Dop0r\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Horny_de] C:\Program Files\GMSoft\Dialers\Horny_de\Horny_de.exe /dontdial
O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/135cafd4c5dd8c4c7d01/netzip/RdxIE601_de.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
11.03.2004, 22:16
Member

Beiträge: 1095
#3 Zuerst bitte das heir runterladen und ausführen
http://www.merijn.org/files/cwshredder.zip

Dann sollte dieser Eintrag weg sein
O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe

wenn nicht dann teste diese Date bei
http://www.kaspersky.com/de/remoteviruschk.html
Wenn Virus. dann Fixen

Danach Fixe bitte dies

O4 - HKLM\..\Run: [Horny_de] C:\Program Files\GMSoft\Dialers\Horny_de\Horny_de.exe /dontdial


Diese könne müßen aber nicht raus
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://207.188.7.150/135cafd4c5dd8c4c7d01/netzip/RdxIE601_de.cab

dann neustart
Poste dann das log nochmal, zur Sicherheit ;)

Gruß paff

P.S.
und besuch mal wieder www.windowsupdate.com
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 11.03.2004 um 22:23 Uhr von paff editiert.
Seitenanfang Seitenende
12.03.2004, 00:58
...neu hier

Themenstarter

Beiträge: 10
#4 cwshredder hat nix gefunden und als ich : http://www.kaspersky.com/de/remoteviruschk.html
benutzen wollte, fand ich die mdmdll.exe im system32-Ordner nicht (c:\windows\system32\mdmdll.exe).

Als ich nach der Datei mit der Suchfunktion im Startmenü gesucht hab, hab ich nur das hier gefunden :
C:\WINDOWS\Prefetch\MDMDLL.exe-1AF53DDF.pf (keine Ahnung ob das von Bedeutung ist)

*schulterzuck*
Danke nochmals für deine Mühe ;)

EDIT : Achja, Hicjackthis findet : O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe immer noch
Dieser Beitrag wurde am 12.03.2004 um 01:05 Uhr von Rattich editiert.
Seitenanfang Seitenende
12.03.2004, 11:47
Member

Beiträge: 1095
#5 Fixe bitte den Eintrag
O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe

und poste nochmal das logfile bitte ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
12.03.2004, 19:04
...neu hier

Themenstarter

Beiträge: 10
#6 So hab ihn und die anderen drei Dinger gefixt und hijackthis findet sie, wie es ausschaut, auch nicht mehr. ... Ist der ganze Mist jetzt futsch oder muss ich noch was machen ? ;)




Logfile of HijackThis v1.97.7
Scan saved at 19:08:47, on 12.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
E:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\GMSoft\Dialers\Horny_de\Horny_de.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System\services.exe
C:\windows\system32\msmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Real\RealOne Player\RealPlay.exe
C:\Dokumente und Einstellungen\Dop0r\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore
F1 - win.ini: run=c:\windows\system32\msmon.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Msmon] c:\windows\system32\msmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe
O4 - HKCU\..\Run: [Msmon] c:\windows\system32\msmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Dieser Beitrag wurde am 12.03.2004 um 19:12 Uhr von Rattich editiert.
Seitenanfang Seitenende
14.03.2004, 12:14
Member

Beiträge: 1095
#7 Hi da ist ja noch ne Menge drin

FIxe bitte das hier
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe
Link dazu
http://www.symantec.com/avcenter/venc/data/w32.hllw.kazping.html


Checke mal die Datei
c:\windows\system32\msmon.exe
bei
http://www.kaspersky.com/de/remoteviruschk.html

Wenn Sie eine Virus enthält dann fixe bitte diese EInträge
F1 - win.ini: run=c:\windows\system32\msmon.exe
O4 - HKLM\..\Run: [Msmon] c:\windows\system32\msmon.exe
O4 - HKCU\..\Run: [Msmon] c:\windows\system32\msmon.exe
(Wirklich 2*vorhanden)

dann neustart
und schau dann im logfile nach ob die Einträge dann immer noch weg sind.
Da ist wichtig!!!!!!!!!

Gruß paff
P.S. KAnnst auch gerne das Logfile nochmal posten
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 14.03.2004 um 12:16 Uhr von paff editiert.
Seitenanfang Seitenende
14.03.2004, 20:22
...neu hier

Themenstarter

Beiträge: 10
#8 Nachdem ich : O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe mit Hijackthis( oder sollte ich hier: http://www.symantec.com/avcenter/venc/data/w32.hllw.kazping.html etwas zum fixen downloaden ? -hab nix gefunden bis auf ellenlange Beschreibungen und Definitonen) gefixt hab, waren die drei Dinger :
F1 - win.ini: run=c:\windows\system32\msmon.exe
O4 - HKLM\..\Run: [Msmon] c:\windows\system32\msmon.exe
O4 - HKCU\..\Run: [Msmon] c:\windows\system32\msmon.exe
auch nach dem Neustart weg.

Also konnt ich c:\windows\system32\msmon.exe bei http://www.kaspersky.com/de/remoteviruschk.html auch nicht finden bzw überprüfen

Dafür hab ich jetzt drei ähnliche Dinger drauf :
F1 - win.ini: run=c:\windows\system32\modeminf.exe
O4 - HKLM\..\Run: [Modeminf] c:\windows\system32\modeminf.exe
O4 - HKCU\..\Run: [Modeminf] c:\windows\system32\modeminf.exe


Bei c:\windows\system32\modeminf.exe wurde : "TrojanDownloader.Win32.Crypt " gefunden, den ich gerade gefixt habe. Nach dem Neustart hat Hijackthis auch nix mehr ähnliches gefunden ;)

Naja ich bin ja den horney-dingens dilar los, also bin ich gluecklich ;)
Die anderen Dinger koennen ruhig drauf bleiben solang sie mich nicht nerven.
Danke jedenfalls, paff ;)
Dieser Beitrag wurde am 14.03.2004 um 20:30 Uhr von Rattich editiert.
Seitenanfang Seitenende
15.03.2004, 09:16
Member

Beiträge: 1095
#9 Hi Rattich

Klasse das du alles los geworden bist.

Poste bitte trotzdem nochmal dein HiJackThis Logfile
Nur so zum Überprüfen.

Gruß paff

Bitte auch mal www.windowsupdate.com besuchen.
Dein Windows ist nicht ganz aktuell.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
15.03.2004, 22:15
...neu hier

Themenstarter

Beiträge: 10
#10 Logfile of HijackThis v1.97.7
Scan saved at 22:16:07, on 15.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
E:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Real\RealOne Player\RealPlay.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Dop0r\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Jo stimmt windowsupdate muss ich noch machen ;)
Seitenanfang Seitenende
15.03.2004, 22:28
Member

Beiträge: 1095
#11 Das sieht jetzt sehr gut aus ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
20.03.2004, 10:59
Member

Beiträge: 17
#12 Hatte mir ebenfalls den GMSoft Dialer eingefangen (Spyware Nuker hatte einige Einträge in der Registry entdeckt). Alle infizierten Dateien sind wie bei Symantec beschrieben entfernt worden und laut diversen Dialer-Detectoren sind auch keine Spuren mehr vorhanden. Allerdings war bei Symantec auch die Rede davon, dass sich das Ding als neuer MIME Typ mit den Extensions GMST2 oder PMXY registriert. Diese sollten ebenfalls entfernt werden. Diese waren aber gar nicht vorhanden. Auch hat der Dialer kein Shortcut Symbol auf dem Desktop installiert und die .exe -Datei (wie z.b. horny_exe.) wurde auch nicht gefunden. Laut Symantec sollte das aber vorhanden sein. Kann es sein, dass der Dialer gar nicht richtig funktioniert hat oder sich nicht vollständig installieren konnte? Ich will nur sicher gehen, dass ich nichts übersehen habe. Aber wie gesagt - so wie beschrieben hat sich das Ding auf meinem PC nicht gezeigt.

Noch eine Frage: Ich weiß nicht, wie lange dieses Ding schon auf dem Computer war. Daher bin ich sehr beunruhigt. Weiß jemand, ob bei T-Online auch die zb. 0900 /0190 o.ä. teure Verbindungen in der Online-Rechnung aufgeführt werden? Bis jetzt ist nämlich nichts von erhöhten Beträgen zu erkennen.

Wäre um jeden Rat dankbar. ;)
Kat

Betriebssystem: XP
DSL, ISDN
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: