ST-OLB00005

Hallo allerseits

Mein Schwager hat sich oben genanntes Wählprogramm eingefangen. Das Programm ermittelt den Telefonanschluß des PC´s. Mit der Telefonnummer kann der Besitzer und seine Adresse ermittelt werden, dieser erhält dann eine Rechnung der Hanseatischen Inkasso GmbH über 69.95? für Erotikdienste.
Nun weigert sich der PC aber als ich die betroffenen Dateien löschen wollte. Wie bekomme ich den Dreck von der Platte. Der Rechner läuft noch mit Win98.
Danke im vorraus für die Ratschläge.

Gruß hazzard

 

Wenn Er keinen weiteren Ärger haben will: format C:

 

Aber erst zu Beweiszwecken ein Backup oder ein Image brennen, wenn er die Erotikdienste nicht in Anspruch genommen hat und nicht zahlen will.

edit:
Die Firma ist ne alte Bekannte. Geh mal hierhin

http://forum.computerbetrug.de

und bemühe die Suchen - Funktion. Da gibt's jede Menge weitere Tipps.

 

Hallo

Natürlich ist Format C das einfachste. Aber in einem Forum in dem so viele "erfahrene Benutzer" antworten müßte es doch auch ander Möglichkeiten geben. Das Programm öffnet ja nicht laufend eine teure Einwahl sondern ermittelt nur einmal die Telefonnummer. Die Urheber werden deswegen ja auch schon strafrechtlich verfolgt. Der Zahlungsbefehl folgt unwiederruflich, das ist Fakt. Die einzige Möglichkeit dagegen ist anschließend Antrag auf Strafverfolgung zu stellen und die Forderung nicht zu bezahlen. Siehe dazu: http://www.internetfallen.de/Dialer/Hanseatische_Dialer/hanseatische_dialer.html
http://www3.mdr.de/plusminus/240204/dialer.html

Ich bin nun folgendermaßen vorgegangen:

Ich habe Spybot und Adaware druberlaufen lassen, Das Wählprogramm mit seinem uninstaller deinstalliert, danach habe ich per Suchenfunktion die Dateien gelöscht, waren noch 5 mal vorhanden und dann mit dem Regcleaner die Registry bereinigt. Auch im Autostart habe ich sie gelöscht. Ich habe weder einen Autostarteintrag noch einen aktiven Prozess festgestellt.

Nun habe ich noch einen Log von Hijack this gemacht und bitte alle die etwas davon verstehen mich wissen zu lassen wo es noch happert.

Logfile of HijackThis v1.97.7
Scan saved at 17:13:45, on 12.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\SISTRAY.EXE
C:\WINDOWS\SYSTEM\KHOOKER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\MDMSETSP.EXE
C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE
C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXE
D:\AOL 9.0\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DOWNLOADED PROGRAM FILES\EBAYTBAR.EXE
A:\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [URL]http://www.freenet.de/[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\EBAYBAND.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0900WA~1\WHELPER1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\EBAYBAND.DLL
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe
O4 - HKLM\..\Run: [ModemUtility] mdmsetsp.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0900WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [McAfee Firewall] "C:\PROGRAMME\MCAFEE\MCAFEE FIREWALL\CPD.EXE" /SERVICE
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = D:\AOL 9.0\aoltray.exe
O4 - Startup: eBay Toolbar.LNK = C:\WINDOWS\DOWNLOADED PROGRAM FILES\EBAYTBAR.EXE
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: eBay Toolbar (HKLM)
O9 - Extra 'Tools' menuitem: eBay Toolbar (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {D34151C8-0C6C-4A7D-B677-4FCC9552E957} (snConnect Class) - http://www.bcnx.com/SunInfoConnect_[URL]http://www.bcnx.com_medium.cab[/URL]
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab

Für die Antworten und auch die die noch kommen möchte ich mich hier im Namen meines Schwagers bedanken.

Gruß hazzard

 

Hallo tut mir leid aber hier hat sich beim Senden wohl einiges überschlagen. Mein Hijack log war nicht so lang. Hier noch ein Versuch.

Logfile of HijackThis v1.97.7
Scan saved at 17:13:45, on 12.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\SISTRAY.EXE
C:\WINDOWS\SYSTEM\KHOOKER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\MDMSETSP.EXE
C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE
C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXE
D:\AOL 9.0\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DOWNLOADED PROGRAM FILES\EBAYTBAR.EXE
A:\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [URL]http://www.freenet.de/[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\EBAYBAND.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0900WA~1\WHELPER1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\EBAYBAND.DLL
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe
O4 - HKLM\..\Run: [ModemUtility] mdmsetsp.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0900WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [McAfee Firewall] "C:\PROGRAMME\MCAFEE\MCAFEE FIREWALL\CPD.EXE" /SERVICE
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = D:\AOL 9.0\aoltray.exe
O4 - Startup: eBay Toolbar.LNK = C:\WINDOWS\DOWNLOADED PROGRAM FILES\EBAYTBAR.EXE
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: eBay Toolbar (HKLM)
O9 - Extra 'Tools' menuitem: eBay Toolbar (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {D34151C8-0C6C-4A7D-B677-4FCC9552E957} (snConnect Class) - http://www.bcnx.com/SunInfoConnect_[URL]http://www.bcnx.com_medium.cab[/URL]
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab

Gruß hazzard

 

Ich gebs auf

 

Wenn Du ein gutes Verhältnis zu Deinem Schwager hast und das auch so bleiben soll, dann sage Ihm, daß das die einzig richtigeund sicherste Lösung ist.
Stell Dir vor, Du dokterst an seinem System rum, und glaubst der Dialer ist weg, aber nächsten Monat hat er auf einmal eine Wahnsinns Telekom Rechnung?
Ich glaube der wird sich bei Dir dafür bedanken
Er soll also am besten formatieren.

 

Entweder hat er ein paarmal zu oft Strg+V gedrückt oder das ist der Welt längstes Hijack-This Log.

Ich kann mich den Vorrednern nur anschließen, format c: hilft hier als einziges weiter.

 

Hallo

Irgendwie hat da was mit der weiterleitung nicht geklappt, Das Hijack log ist bei mir höchstens 1/5 so lang, wenn überhaupt.
Auf jedenfall habe ich meinen Schwager jetzt überzeugt, ich habe Anweisung gegeben nicht mehr ins Netz zu gehen und werde morgen Abend den Rechner platt machen. Ist meiner Meinung nach auch die sicherste Lösung.
Nichts für ungut und so long.

Gruß hazzard