Virus? Dialer?

Weiß jemand, wie man das folgende Problem behebt bzw. was der Hintergrund ist?

Seit ein paar Tagen öffnet sich beim Hochfahren des Rechners automatisch die DFÜ-Verbindung, außerdem schlägt während Internetverbindungen immer mal wieder Norton Internet Security an und meldet, dass ?eine Netzwerkkommunikation versucht wird, die auf Windows Explorer zugreift?. Anwendung: C:\\WINDOWS\EXPLORER.EXE.

Obwohl ich schon Regeln konfiguriert habe, versucht der PC immer wieder die Verbindung. Kann es sein, dass ich mir einen Dialer oder Virus eingefangen habe und wenn ja, wie finde und entferne ich ihn? Danke im voraus für einen Tipp.

 

Ad-Aware weist darauf hin, dass dann, wenn Spyware-Komponenten gelöscht werden, damit verknüpfte Programme, die diese Spywaere beinhalten und per Installation auf den Rechner bringen, auch nicht mehr funktionieren.Mann muss sich also in manchen Fällen entscheiden : Entweder ein kostenloses Programm mit Spyware-Elementen oder bezahlen und ohne Spyware. Es gibt Listen darüber, welche Freeware-Programme welchee Spyware-Elemente mitbringen; habe aber momentan keinen Link zur Hand.

 

Ad-Aware bietet doch auch die Möglichkeit die Dateien in Quarantäne zu sichern um sie bei Bedarf wieder installieren zu können.

 

Das könnte man nur sicher beantworten, wenn du uns die Einträge alle nennst.
Bis jetzt hab ich immer alles gelöscht was mir Ad-Aware angezeigt hat und es gab nie Probleme. Das ist natürlich keine Garantie, dass es bei dir auch so ist, aber ich würd sagen das Risiko kannst du eingehn.

 

Die Frage mag jetzt blöd sein - aber können all diese 286 dateien wirklich gelöscht werden? keine gefahr, wichtige bzw. benötigte dateien zu erwischen?

 

Löschen, was denn sonst

 

Hab jetzt einen Scan mit Ad-Aware durchgeführt. Das Ergebnis:

"286 new objects"

47 registry keys identified
3 registry values identified
229 files identified
7 folders identified

Was mache ich nun damit?

 

Dir ist aber schon klar, dass du ihn da ggf. selbst abschreckst? So schwer ist ein Sniffer nun auch nicht zu kapieren.
Was liefert er an Daten:
Ziel IP, Protokoll, Quellport, Zielport, empfangene und gesendete Daten und u.U. gleich noch das verantwortliche lokale Programm.
Also exakt das, was man braucht.

 

Steele hat grundsätzlich recht. Aber die Sniffer erfordern schon ein wenig Einarbeitung, wenn man sich mit sowas noch nicht auseinandergesetzt hat.

Bevor du dich vielleicht abschrecken läßt und gar nichts machst, solltest du unbedingt den Tipp von Maxmaster befolgen. Wenn's nichts bringt, schalte mal die Funkerei der von Steele genannten Programme ab (geht über Optionen der Programme oder Start - ausführen - msconfig - Systemstart und schau mal nach, ob es an einem der update-willigen Programme liegt.

 

Mir fällt bei den geposteten HijackThis-Logs immer wieder auf, wie ungheuer viele Programme da im Allgemeinen mitgestartet werden. Viele Programme haben die Eigenart, sich in Autostarts zu schreiben, um dann später beim eigentlichen Programmstart schneller laden zu können. Bei heutigen RAM-Größen mag das auch kein Arbeitsspeicher-Problem mehr sein, führt aber dazu, dass es dann schwierig ist, ein Programm zu identifizieren, welches unerwünschte Nebenwirkungen hat.Wenn man die Autostarts aufs Nötigste reduzieren würde, wäre eine solche Identifikation wesentlich leichter.

 

Wenn du es genau wissen willst, wirst du wohl einen Netzwerksniffer wie Ethereal oder TCPDump benutzen müssen.
Da du aber einen Haufen Programme im Autostart hast, die gerne mal nach Updates suchen oder andere Informationen abrufen (wie z.B. Realplayer, Norton-Geraffel, Winamp usw.), kann das auch durch diese Programme verursacht werden. Aber wie gesagt: Zweifelsfrei bekommst du das durch Sniffen der Datenpakete mit.

 

Hab die Dateien teilweise schon entfernt, noch ohne Erfolg. Der PC versucht immer noch selbständig, eine DFÜ-Verbindung herzustellen. Ich versuch mal noch die anderen Tipps. Danke mal soweit für die Hilfe! Kann einer der Hijacker dafür verantwortlich sein oder woran liegt das normalerweise?

 

C:\PROGRAMME\DOWNLOADWARE\DW.EXE

Adware. Weg.

R1/R0-Einträge fixen lassen

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL

Hijacker. Weg.

O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H

Siehe oben. Weg.

O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - h**p://www.spk-mm-mn.de/CFIDE/classes/CFJava.cab

Verdächtig.

O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.25.152/code/PWActiveXImgCtl.CAB

Hijacker. Weg.

O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - h**ps://spk-sdb.izb-hb.de/SPK_MM_LI...erageinstV8.cab

Verdächtig.

 

Versuchs mal mit Adaware 6.0 (findet Dialer) und ein Gratis Virenscanner AntiVir. Findest Du beides auf Chip.de

 

Schau mal hier.

 

Logfile of HijackThis v1.97.7
Scan saved at 21:40:57, on 30.03.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\WINDOWS\SYSTEM\HPLAMPC.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\PROGRAMME\DOWNLOADWARE\DW.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MESSENGER\MSMSGS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\PROGRAMME\NIKON\NKVIEW5\NKVMON.EXE
C:\PROGRAMME\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\RAR$EX01.7H3\HIJACKTHIS.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\PROGRAMME\MICROSOFT WORKS\MSWORKS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://kloun.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://kloun.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://kloun.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hockeyweb.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://kloun.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://kloun.com/index.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .EXE: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://www.spk-mm-mn.de/CFIDE/classes/CFJava.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.25.152/code/PWActiveXImgCtl.CAB
O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - https://spk-sdb.izb-hb.de/SPK_MM_LI_MN/SBrokerageinstV8.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/SharedContent/sc/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security1.norton.com/SSC/SharedContent/vc/bin/AvSniff.cab

 

Sein kann vieles, auch Harmloses. Man müsste mehr Details über dein System wissen.
Ein Anfang wäre es, wenn du dir HijackThis besorgst und ein Log hier postest.
Bebilderte Anleitung:
http://hjt.klaffke.de