porndialer Zugriff mit dw.exe

#1 Hallo,

habe ein kleines/grosses Problem. Wenn ich auf den Ordner DownloadWare gehe, bekomme ich vom G Data Virenschutz die Meldung:
Es wurde versucht auf einen Dialer zuzugreifen.
Datei: dw.exe
Verzeichnis: C:\Programme\DownloadWare
Engine: RAV-Engine
Dialer: Tool: PornDialer.EA
Ich kann weder die Datei löschen noch desinfizieren. Problem ist das erste Mal aufgetreten, als ich mit EA Sports FIFA 2003 spielen wollte,allerdings funktionierte das vorher immer Problemlos.
Habe mal das Ergebnis von Hijackthis eingefügt, vielleicht kann mir ja jemand helfen.

Logfile of HijackThis v1.97.7
Scan saved at 20:37:02, on 20.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
E:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\DownloadWare\dw.exe
C:\Programme\DelFin\PromulGate\PgMonitr.exe
C:\Programme\Virenschutz\AVKPOP.EXE
E:\0190WA~1\WARN0190.EXE
E:\Winamp3\winampa.exe
C:\WINDOWS\System32\rundll32.exe
E:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\WINDOWS\wanmpsvc.exe
E:\Overnet\Overnet.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
E:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
E:\Photo Express 2\CalCheck.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
E:\WinAce.exe
C:\DOKUME~1\Corinna\LOKALE~1\Temp\~AceTemp\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rtl.de/net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.rtl.de/net
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Virenschutz\AVKPOP.EXE"
O4 - HKLM\..\Run: [0190 Warner] E:\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [WinampAgent] "E:\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MPFExe] E:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [Overnet] E:\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Office\OSA9.EXE
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Ulead Kalendar Checker.lnk = E:\Photo Express 2\CalCheck.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.rtl.de/net
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F8EDCDA-C33A-4BB4-8619-EE33000A2FC9}: NameServer = 195.93.77.134

Wäre sehr nett, wenn mir jemand antworten würde, falls noch Infos benötigt werden, einfach schreiben.
Vielen Dank schon mal.
Corinna :-)

#2 Das dürfte raus:
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
C:\Programme\DownloadWare\dw.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H

Ich vermute auch:
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll

Als dann steht wohl mal eine Aktualisierung des IE/Windows ins Haus !!!
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Hallo Joschi,

vielen, lieben Dank, es scheint funktioniert zu haben, du bist wohl mein Held :-)
Konnte jetzt auch nach Virenscan die Datei komplett löschen, sieht gut aus.
Allerdings weiss ich nicht, was du mit Aktualisierung von IE/Windows meinst, kenne mich da nicht so aus?!
Danke nochmal für deine prompte Antwort.
Lieben Gruß
Corinna

#4 Aktualisierungen von Betreibssystemen (allgemein) sind unablässig.
Mit dem IE nach http://www.windowsupdate.com/ surfen.
Alles weitere wird dort erklärt. Von Vorteil ist hier eine schnelle Leitung wie DSL, da die herunter zu ladenden Updates u.U. recht umfangreich sind.

Für viele Patches ist das Servicepack 1 Voraussetzung. Das sollte, wie auch immer, als erstes mal installiert werden. via Web oder Bekannte, Freunde, die es evtl auf einer CD haben
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Hallo Joschi,

danke nochmal für deine Ratschläge und Hilfe. Werde mir jetzt also mal die Updates runterladen. Vielen lieben Dank und noch einen schönen Sonntag.

Corinna

#6

Zitat

rini postete
Hallo,

habe ein kleines/grosses Problem. Wenn ich auf den Ordner DownloadWare gehe, bekomme ich vom G Data Virenschutz die Meldung:
Es wurde versucht auf einen Dialer zuzugreifen.
Datei: dw.exe
Verzeichnis: C:\Programme\DownloadWare
Engine: RAV-Engine
Dialer: Tool: PornDialer.EA
Ich kann weder die Datei löschen noch desinfizieren. Problem ist das erste Mal aufgetreten, als ich mit EA Sports FIFA 2003 spielen wollte,allerdings funktionierte das vorher immer Problemlos.
Habe mal das Ergebnis von Hijackthis eingefügt, vielleicht kann mir ja jemand helfen.:-)

Wie zum Teufel fängt man sich eigentlich diese Sch... Porno-Dialer ein, wenn man gar keine dieser Webseiten besucht hat???? Reicht allein schon so ein blödes PopUp um sich diesen Käse einzufangen? Würde mich mal interessieren, denn diese Dinger scheinen ja immer häufiger aufzutreten.

#7 Das Problem liegt in "Active Scripting" und "ActiveX". Beides, sinvoll genutzt kann sehr praktisch und komforabel sein, birgt aber auch Risiken und Schwachstellen, die eben auch bewusst ausgenutzt werden.
Man kann nun diese "Active"-Komponenten ausschalten, oder auf andere Browser zurückgreifen ohne wirklich einen nennenswerten Nachteil damit zu haben.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 Hallo
habe ein kleines/grosses Problem. Wenn ich auf den Ordner DownloadWare gehe, bekomme ich vom G Data Virenschutz die Meldung:
Es wurde versucht auf einen Dialer zuzugreifen.
Datei: dw.exe
Verzeichnis: C:\Programme\DownloadWare
Engine: RAV-Engine
Dialer: Tool: PornDialer.EA
Ich kann weder die Datei löschen noch desinfizieren wir bei jeden Hochfahren angezeigt . Wie kann ich die Datei lösche.
Danke im Voraus Gruß Micha

#9 @ Racer:
Selbes Verfahren wie oben !!?
Poste mal ein Hijack-Log.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#10

Zitat

joschi postete
Das Problem liegt in "Active Scripting" und "ActiveX". Beides, sinvoll genutzt kann sehr praktisch und komforabel sein, birgt aber auch Risiken und Schwachstellen, die eben auch bewusst ausgenutzt werden.
Man kann nun diese "Active"-Komponenten ausschalten, oder auf andere Browser zurückgreifen ohne wirklich einen nennenswerten Nachteil damit zu haben.

Welcher Browser wäre da zu empfehlen? Opera?

#11 Ist so ne Geschmackssache. Firefox, Mozilla oder Opera sind so die bekanntesten Alternativen. Von der Handhabung und div. Features gefällt mir Opera sehr gut.

Noch eine Bitte:
Keine Hijack-Logs an meine Email-Adresse oder per PM.
Bitte hier posten, dann wirds besprochen. Hat den enormen Vorteil, dass mehr Augen einen Blick darauf werfen können.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#12 Hi Joschi hier das ergebnis von Hijacjthis
Logfile of HijackThis v1.97.7
Scan saved at 21:01:40, on 23.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\DelFin\PromulGate\PgMonitr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Kazaa\kazaa.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\DownloadWare\dw.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\PROGRA~1\DATACA~1\FLashKsk.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\EasyZip\EZIP.EXE
C:\DOKUME~1\Micha\LOKALE~1\Temp\hijackthis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
O4 - HKLM\..\Run: [DataCaching] C:\PROGRA~1\DATACA~1\FLashKsk.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {9DBAFCCF-592F-FFFF-FFFF-00608CEC297C} - http://download.weatherbug.com/minibug/tricklers/AWS/minibuginstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC2FD48A-08BB-4675-AA9B-EEFD7B668C93}: NameServer = 192.168.120.252,192.168.120.253

Dialer läßt sich immer noch nicht löschen.
Gruß Micha

#13 O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup

Sollte dw.exe als laufender Prozess im Taskmanager aufgeführt sein, so versuche, den Prozess zu beenden und anschl den kompletten Ordner der dw.exe zu löschen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#14 Hi Joschi
Soll ich die Dateien O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
auch mit dem Hijackthis herauslöschen?
Gruß micha

#15 Ja, das meinte ich, als ich diese Zeile angeführt habe- löschen.
Hast Du generell mal Adaware oder Spybot verwendet. Beide sind sehr empfehlenswert, was das Aufspühren und Entfernen von Spyware betrifft.
__________
Durchsuchen --> Aussuchen --> Untersuchen