Hilfe!! Wichtige Frage zu Dialer-Installation (GMSoft)

#0
21.03.2004, 14:30
Member

Beiträge: 17
#1 Hatte mir ebenfalls den GMSoft Dialer eingefangen (Spyware Nuker hatte einige Einträge in der Registry entdeckt). Alle infizierten Dateien sind wie bei Symantec beschrieben entfernt worden und laut diversen Dialer-Detectoren sind auch keine Spuren mehr vorhanden. Allerdings war bei Symantec auch die Rede davon, dass sich das Ding als neuer MIME Typ mit den Extensions GMST2 oder PMXY registriert. Diese sollten ebenfalls entfernt werden. Diese waren aber gar nicht vorhanden. Auch hat der Dialer kein Shortcut Symbol auf dem Desktop installiert und die .exe -Datei (wie z.b. horny_exe.) wurde auch nicht gefunden. Laut Symantec sollte das aber vorhanden sein. Kann es sein, dass der Dialer gar nicht richtig funktioniert hat oder sich nicht vollständig installieren konnte? Ich will nur sicher gehen, dass ich nichts übersehen habe. Aber wie gesagt - so wie beschrieben hat sich das Ding auf meinem PC nicht gezeigt.

Noch eine Frage: Ich weiß nicht, wie lange dieses Ding schon auf dem Computer war. Daher bin ich sehr beunruhigt. Weiß jemand, ob bei T-Online auch die zb. 0900 /0190 o.ä. teure Verbindungen in der Online-Rechnung (also die, die man schon online einsehen kann) aufgeführt werden? Bis jetzt ist nämlich nichts von erhöhten Beträgen zu erkennen.

Wäre um jeden Rat dankbar.
Kat

Betriebssystem: XP
DSL, ISDN
Seitenanfang Seitenende
21.03.2004, 22:29
Moderator
Avatar joschi

Beiträge: 6466
#2 Die Symantec-Beschreibung erscheint mir im Gegensatz zu anderen als recht umfangreich.
Wenn Du alle darin beschriebenen Eventualitäten geprüft hast, sieht es ziemlich gut aus. Ein abschließender Scan mit Adaware (Registry und die komplette C-Platte) sollten das Restliche tun.
Kannst auch noch ein hijackthis-Log posten.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
22.03.2004, 08:27
Member

Themenstarter

Beiträge: 17
#3

Zitat

joschi postete
Die Symantec-Beschreibung erscheint mir im Gegensatz zu anderen als recht umfangreich.
Wenn Du alle darin beschriebenen Eventualitäten geprüft hast, sieht es ziemlich gut aus.
Das ist ja das Problem. Einige Sachen waren auf meinem PC gar nicht vorhanden.
Auf jeden Fall hier der LogFile:

Logfile of HijackThis v1.97.7
Scan saved at 08:26:50, on 22.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Program Files\DialGuard\DialGuard.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\0190 Warner\w0svc.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Steganos Trace Destructor 6.5\itd.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Kill Window] "C:\Programme\Kill Window 2.0\Kill Window 2.0.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [DialGuard] C:\Program Files\DialGuard\DialGuard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Adaware Bootup] C:\Dokumente und Einstellungen\Brosig\Desktop\Lavasoft Ad-aware\Ad-aware.exe /Auto /Log "C:\Dokumente und Einstellungen\Brosig\Desktop\Lavasoft Ad-aware\"
O4 - HKCU\..\Run: [ITD65_ITD] "C:\Programme\Steganos Trace Destructor 6.5\itd.exe" /booting
O4 - Global Startup: HPAiODevice(hp officejet 7100 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet 7100 series\Bin\hpogrp07.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38028.0027430556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
22.03.2004, 13:05
Moderator
Avatar joschi

Beiträge: 6466
#4 In meinen Augen nichts verdächtiges. Evtl kann das noch jemand von den "Hijack-Profis" ;) mal durchschauen.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
23.03.2004, 11:47
Member

Themenstarter

Beiträge: 17
#5

Zitat

joschi postete
In meinen Augen nichts verdächtiges. Evtl kann das noch jemand von den "Hijack-Profis" ;) mal durchschauen.
Alles klar. Danke schonmal. ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: