GMsoft Dilar - wie beseitigen ? |
||
---|---|---|
#0
| ||
11.03.2004, 03:31
...neu hier
Beiträge: 10 |
||
|
||
11.03.2004, 19:47
...neu hier
Themenstarter Beiträge: 10 |
#2
Danke schonmal
so hier die logfile : Logfile of HijackThis v1.97.7 Scan saved at 19:44:00, on 11.03.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe E:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Program Files\GMSoft\Dialers\Horny_de\Horny_de.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Dop0r\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Horny_de] C:\Program Files\GMSoft\Dialers\Horny_de\Horny_de.exe /dontdial O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/135cafd4c5dd8c4c7d01/netzip/RdxIE601_de.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
11.03.2004, 22:16
Member
Beiträge: 1095 |
#3
Zuerst bitte das heir runterladen und ausführen
http://www.merijn.org/files/cwshredder.zip Dann sollte dieser Eintrag weg sein O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe wenn nicht dann teste diese Date bei http://www.kaspersky.com/de/remoteviruschk.html Wenn Virus. dann Fixen Danach Fixe bitte dies O4 - HKLM\..\Run: [Horny_de] C:\Program Files\GMSoft\Dialers\Horny_de\Horny_de.exe /dontdial Diese könne müßen aber nicht raus O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/135cafd4c5dd8c4c7d01/netzip/RdxIE601_de.cab dann neustart Poste dann das log nochmal, zur Sicherheit Gruß paff P.S. und besuch mal wieder www.windowsupdate.com __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 11.03.2004 um 22:23 Uhr von paff editiert.
|
|
|
||
12.03.2004, 00:58
...neu hier
Themenstarter Beiträge: 10 |
#4
cwshredder hat nix gefunden und als ich : http://www.kaspersky.com/de/remoteviruschk.html
benutzen wollte, fand ich die mdmdll.exe im system32-Ordner nicht (c:\windows\system32\mdmdll.exe). Als ich nach der Datei mit der Suchfunktion im Startmenü gesucht hab, hab ich nur das hier gefunden : C:\WINDOWS\Prefetch\MDMDLL.exe-1AF53DDF.pf (keine Ahnung ob das von Bedeutung ist) *schulterzuck* Danke nochmals für deine Mühe EDIT : Achja, Hicjackthis findet : O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe immer noch Dieser Beitrag wurde am 12.03.2004 um 01:05 Uhr von Rattich editiert.
|
|
|
||
12.03.2004, 11:47
Member
Beiträge: 1095 |
#5
Fixe bitte den Eintrag
O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe und poste nochmal das logfile bitte Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
12.03.2004, 19:04
...neu hier
Themenstarter Beiträge: 10 |
#6
So hab ihn und die anderen drei Dinger gefixt und hijackthis findet sie, wie es ausschaut, auch nicht mehr. ... Ist der ganze Mist jetzt futsch oder muss ich noch was machen ?
Logfile of HijackThis v1.97.7 Scan saved at 19:08:47, on 12.03.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe E:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Program Files\GMSoft\Dialers\Horny_de\Horny_de.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System\services.exe C:\windows\system32\msmon.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Real\RealOne Player\RealPlay.exe C:\Dokumente und Einstellungen\Dop0r\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore F1 - win.ini: run=c:\windows\system32\msmon.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Msmon] c:\windows\system32\msmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe O4 - HKCU\..\Run: [Msmon] c:\windows\system32\msmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Dieser Beitrag wurde am 12.03.2004 um 19:12 Uhr von Rattich editiert.
|
|
|
||
14.03.2004, 12:14
Member
Beiträge: 1095 |
#7
Hi da ist ja noch ne Menge drin
FIxe bitte das hier O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe Link dazu http://www.symantec.com/avcenter/venc/data/w32.hllw.kazping.html Checke mal die Datei c:\windows\system32\msmon.exe bei http://www.kaspersky.com/de/remoteviruschk.html Wenn Sie eine Virus enthält dann fixe bitte diese EInträge F1 - win.ini: run=c:\windows\system32\msmon.exe O4 - HKLM\..\Run: [Msmon] c:\windows\system32\msmon.exe O4 - HKCU\..\Run: [Msmon] c:\windows\system32\msmon.exe (Wirklich 2*vorhanden) dann neustart und schau dann im logfile nach ob die Einträge dann immer noch weg sind. Da ist wichtig!!!!!!!!! Gruß paff P.S. KAnnst auch gerne das Logfile nochmal posten __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 14.03.2004 um 12:16 Uhr von paff editiert.
|
|
|
||
14.03.2004, 20:22
...neu hier
Themenstarter Beiträge: 10 |
#8
Nachdem ich : O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe mit Hijackthis( oder sollte ich hier: http://www.symantec.com/avcenter/venc/data/w32.hllw.kazping.html etwas zum fixen downloaden ? -hab nix gefunden bis auf ellenlange Beschreibungen und Definitonen) gefixt hab, waren die drei Dinger :
F1 - win.ini: run=c:\windows\system32\msmon.exe O4 - HKLM\..\Run: [Msmon] c:\windows\system32\msmon.exe O4 - HKCU\..\Run: [Msmon] c:\windows\system32\msmon.exe auch nach dem Neustart weg. Also konnt ich c:\windows\system32\msmon.exe bei http://www.kaspersky.com/de/remoteviruschk.html auch nicht finden bzw überprüfen Dafür hab ich jetzt drei ähnliche Dinger drauf : F1 - win.ini: run=c:\windows\system32\modeminf.exe O4 - HKLM\..\Run: [Modeminf] c:\windows\system32\modeminf.exe O4 - HKCU\..\Run: [Modeminf] c:\windows\system32\modeminf.exe Bei c:\windows\system32\modeminf.exe wurde : "TrojanDownloader.Win32.Crypt " gefunden, den ich gerade gefixt habe. Nach dem Neustart hat Hijackthis auch nix mehr ähnliches gefunden Naja ich bin ja den horney-dingens dilar los, also bin ich gluecklich Die anderen Dinger koennen ruhig drauf bleiben solang sie mich nicht nerven. Danke jedenfalls, paff Dieser Beitrag wurde am 14.03.2004 um 20:30 Uhr von Rattich editiert.
|
|
|
||
15.03.2004, 09:16
Member
Beiträge: 1095 |
#9
Hi Rattich
Klasse das du alles los geworden bist. Poste bitte trotzdem nochmal dein HiJackThis Logfile Nur so zum Überprüfen. Gruß paff Bitte auch mal www.windowsupdate.com besuchen. Dein Windows ist nicht ganz aktuell. __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
15.03.2004, 22:15
...neu hier
Themenstarter Beiträge: 10 |
#10
Logfile of HijackThis v1.97.7
Scan saved at 22:16:07, on 15.03.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe E:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Real\RealOne Player\RealPlay.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Dop0r\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1977.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Jo stimmt windowsupdate muss ich noch machen |
|
|
||
15.03.2004, 22:28
Member
Beiträge: 1095 |
#11
Das sieht jetzt sehr gut aus
__________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
20.03.2004, 10:59
Member
Beiträge: 17 |
#12
Hatte mir ebenfalls den GMSoft Dialer eingefangen (Spyware Nuker hatte einige Einträge in der Registry entdeckt). Alle infizierten Dateien sind wie bei Symantec beschrieben entfernt worden und laut diversen Dialer-Detectoren sind auch keine Spuren mehr vorhanden. Allerdings war bei Symantec auch die Rede davon, dass sich das Ding als neuer MIME Typ mit den Extensions GMST2 oder PMXY registriert. Diese sollten ebenfalls entfernt werden. Diese waren aber gar nicht vorhanden. Auch hat der Dialer kein Shortcut Symbol auf dem Desktop installiert und die .exe -Datei (wie z.b. horny_exe.) wurde auch nicht gefunden. Laut Symantec sollte das aber vorhanden sein. Kann es sein, dass der Dialer gar nicht richtig funktioniert hat oder sich nicht vollständig installieren konnte? Ich will nur sicher gehen, dass ich nichts übersehen habe. Aber wie gesagt - so wie beschrieben hat sich das Ding auf meinem PC nicht gezeigt.
Noch eine Frage: Ich weiß nicht, wie lange dieses Ding schon auf dem Computer war. Daher bin ich sehr beunruhigt. Weiß jemand, ob bei T-Online auch die zb. 0900 /0190 o.ä. teure Verbindungen in der Online-Rechnung aufgeführt werden? Bis jetzt ist nämlich nichts von erhöhten Beträgen zu erkennen. Wäre um jeden Rat dankbar. Kat Betriebssystem: XP DSL, ISDN |
|
|
||
Ich würde gerne den GMsoft Dilar losweden. Keine Ahnung was der anrichtet, aufjedenfall nervt er mich so langsam. Seitdem ich ihn hab wurde meine Startseite geändert, an meinen Cookies rumgefummelt etc.
Zusätzlich hab ich noch nen horny_de-Dilar in der Taskleiste, wo man "trennen", "verbinden" und "installation rückgängig machen" auswählen kann. Dieser Dilar wird natürlich nicht gelöscht, wenn man auf "installtion rückgängig" klickt bzw. kommt jedes mal wieder.
Ich hab versucht mit CWSschredder, Ad-aware und noch irgendein anderes Programm die Dinger loszuwerden, aber ohne Erfolg. Ad-aware findet immer mindestens 4 Teile namens : GMsoftdilar (type :Regkey, Folder, File).
Zudem findet Ad-aware noch diverse Tracking Cookies.
Entfernen kann man so oft wie man will, sie kommen jedes mal wieder.
Danke schonmal !
EDIT : Mist. Falsches Forum, sry. Sollte eigentlich ins Mailwareforum.