Dialer?!

Ich hoffe jemand kann mir weiterhelfen,also:

Ich glaube ich hab mir irgendwie ´ne Art Dialer eingefangen. In letzter Zeit haben sich ab und zu als ich ganz normal am surfen war immer dieselben ****o-Fenster geöffnet mit dem üblichen Scheiß (Software,Zugang und bla bla bla...). Und gestern habe ich wohl nicht schnell genug reagiert und alles schnell zu gemacht und dann hatte ich schon 3 Sex-Links in meinen Favorites und die Start-Seite wurde im IE immer von selbst verändert, ehe ich die zugehörige *.dll Datei gelöscht hatte. Als ich dann heute den PC runtergefahren habe und neugestartet habe, war die Datei "hosts" im System32 Verzeichnis auch von selbst gelöscht, so dass der IE die Page zum einwählen nicht unter ihrem Namen sondern nur unter der IP erkannt hat.
Der Dialer kann zum Glück nichts anrichten da wir eine Firewall im Form eines extra-PCs im Haus haben und bei uns gar keine Verbindung aufbauen kann, allerdings läuft das Internet sehr langsam im Gegensatz zu sonst (habe DSL), zwischendurch öffnen sich irgendwelche ****o-Popups und der Internet Explorer schmiert andauernd einfach ab. Norton hat auch nichts gefunden.

Meine Frage: Ich weiß überhaupt nicht wo ich anfangen soll zu suchen bzw. wo sich solche Dinger einnisten. Oder gibt´s irgendwelche Programme die speziell darauf aus sind solche Dialer auf ´nem Rechner ausfindig zu machen? Wäre für Hilfe sehr dankbar.

Gruß

 

Hi !

erstelle mal ein Log mit HJT - http://www.hjt.klaffke.de

das Log hier posten, dann lässt sich der Müll identifizieren !

 

Weiß nicht ob das richtig ist,aber denke ich mal,also hier der *.log File:

Logfile of HijackThis v1.97.7
Scan saved at 21:54:04, on 09.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\Norton Anti Virus 2003\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Mixer.exe
I:\Logitech iTouch\iTouch\iTouch.exe
C:\Program Files\Desktop Messenger\8876480\Program\backWeb-8876480.exe
C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
D:\E-Mail Spam Cleaner\Spamihilator\spamihilator.exe
C:\WINDOWS\explorer.exe
D:\ICQ\ICQ\Icq.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Spybot\Spybot - Search & Destroy\SpybotSD.exe
D:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#10213
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://smoothwall:445/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#10213
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - i:\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton Anti Virus 2003\NavShExt.dll
O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Documents and Settings\Heiner\Application Data\sysib\netcf.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton Anti Virus 2003\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [zBrowser Launcher] I:\Logitech iTouch\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [*******ElbyCDFL] "D:\Clone CD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [sysloader] "C:\WINDOWS\System32\sysload .exe" -init
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\d3mj32.dll,Install
O4 - HKCU\..\Run: [Spamihilator] "D:\E-Mail Spam Cleaner\Spamihilator\spamihilator.exe"
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\d3mj32.dll,Install
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Gator eWallet.lnk = C:\Program Files\Gator.com\Gator\Gator.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://I:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Broken Internet access because of LSP provider 'rpc32vm.dll' missing
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} - http://secure.goodthinxx.com/(yxm2px3urn5k51nfhs3ryc3v)/secureweb/securewebgt.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37722.5420138889
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.power-url.de/install/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9CF8CC4-B701-4E37-ACBA-2A4D8449059D}: NameServer = 192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1C712FD-311B-4984-92DB-67991C7A5DED}: NameServer = 192.168.0.2,0.0.0.0

 

Hab übrigens vorher mal SpyBot laufen lassen und der hat doch so einiges gefunden. Hab den Krempel dann entfernen lassen, vielleicht hat das ja schon geholfen?!?!

 

Ohne Anspruch auf Vollständigkeit (ich übersehe immer einiges in so irre langen Log-files):

Schmeisse den Gator-Krempel runter, falls das nicht schon Spybot erledigt hat:

http://www.liutilities.com/products/wintaskspro/processlibrary/gator/

 

Hmm hatt SpyBot schon erledigt. Aber warum Gator? Das Programm is ja eigentlich ganz nützlich, damit man die Passwörter nicht immer eingeben muss.

 

@ Winhater

Zunächst solltest du mal dein System aktualisieren, d.h. SP1 und alle weiteren sicherheitsrelevanten Patches aufspielen.

Diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html
checken, danach postet dun uns die Funde :
C:\WINDOWS\System32\sysload .exe
C:\WINDOWS\d3mj32.dll
C:\Program Files\Desktop Messenger\8876480\Program\backWeb-8876480.exe

Installiere >> SpHjfix.exe und desinfiziere dein System, danach >> CWShredder << installieren, updaten und scannen.

Nochmals eine neues Log-File erstellen und posten.

 

Sorry,hab jetzt nicht ganz verstanden was mit SP1 gemeint is und wo krieg ich die Patches?

 

Zu überprüfende Datei: d3mj32.dll

d3mj32.dll - packed with UPX
d3mj32.dll Infiziert: TrojanDownloader.Win32.Wintrim.be


Statistiken:
Bekannte Viren: 90699 Updated: 09-06-2004
Größe der Datei (Kb): 43 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0

 

Zu überprüfende Datei: backWeb-8876480.exe

backWeb-8876480.exe Ok


Statistiken:
Bekannte Viren: 90699 Updated: 09-06-2004
Größe der Datei (Kb): 16 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0


Kann die Sysload.exe Datei aber irgendwie nich finden

 

bei Dir heißt sie "sysload .exe" - achte auf das blank !!! sowas macht sie mehr als verdächtig ...



btw. Updates & Patches gibt´s bei M$ - wo sonst ?

 

Im Windows Explorer -> Extras -> Ordneroptionen -> Reiter Ansicht -> Alle Dateien und Ordner anzeigen aktivieren
und
Erweiterungen bei bekannten Dateitypen ausblenden
Geschützte Systemdaten ausblenden
Inhalte von Systemordner anzeigen
jeweils Haken entfernen und Übernehmen.

 

Ich würde dir zu einen Neuaufsetzen deines System raten, da es nicht mehr vertrauenswürdig ist.
Info: http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

 

Klick mal auf den Link, den ich gepostet habe.

 

Jo, oder hier:

http://www.heise.de/security/artikel/47520

 

jo danke erstmal,ich denke ich werde vorerst nicht alles neu aufspielen, hab ich im Moment echt keine Lust bzw. Zeit zu.

Was ist das denn jetzt genau was sich da auf meinem PC befindet? Kann keine Beschreibung des Virus finden der mir da angezeigt wurde.