[Dialer] Netstat findet aber ich check das nicht!

Domme

kennt sich schon aus
Netstat findet aber ich check das nicht!

Hallo alle zusammen! :)

Ich habe mir vor kurzem Netstat aufgespielt um mal miene Verbindungen zu kontrollieren nur jetzt schaut mal bitte was dabei rausgekommen ist:

*** netstat.exe -a -p TCP - 13.11.2004 02:14:34 ***

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP domme:echo domme:0 ABHÖREN
TCP domme:discard domme:0 ABHÖREN
TCP domme:daytime domme:0 ABHÖREN
TCP domme:qotd domme:0 ABHÖREN
TCP domme:chargen domme:0 ABHÖREN
TCP domme:18350 domme:0 ABHÖREN
TCP domme:1048 205.188.2.95:5190 HERGESTELLT
TCP domme:1057 cb.icq.com:http HERGESTELLT
TCP domme:1059 icqweb-m.icq.com:http HERGESTELLT
TCP domme:1060 www.t-online.de:http SCHLIESSEN_WARTEN
TCP domme:1027 0190-dialer.com:18350 HERGESTELLT
TCP domme:1036 0190-dialer.com:4001 HERGESTELLT
TCP domme:1051 0190-dialer.com:4001 HERGESTELLT
TCP domme:1052 domme:0 ABHÖREN
TCP domme:4001 domme:0 ABHÖREN
TCP domme:4001 0190-dialer.com:1034 WARTEND
TCP domme:4001 0190-dialer.com:1036 HERGESTELLT
TCP domme:4001 0190-dialer.com:1051 HERGESTELLT
TCP domme:18350 0190-dialer.com:1027 HERGESTELLT

Sieht nach einem Dialer aus nur ich weiß nicht wie ich diesen Sch... wegkriege!
AntiVir findet nichts AdAware auch nicht ich habe absolut keinen Plan mehr, hoffe jemand kann mir helfen!

zum glück hab ich dsl aber trotzdem würd ich den Sch.. gerne so schnell wie möglich wegbekommen!!!!
 
Was meint dein Taskmanager?

Suspekte Programme drin?

Prüfe deine hosts Datei %windir%/system32/drivers/etc/hosts

Steht da 0190-dialer.com mit der IP 81.23.252.0 drin?

AD-Aware + Antivir auf dem neuesten stand?
Mal im Abgesicherten Modus gescannt?
 
Hallo erstmal!!

Also im Task Manager ist nichts außergewöhnliches und Adaware und Antivir sind bei mir immer aktuell, ich weiß echt nicht was ich noch machen soll hab fast alles schon paar mal durchlaufen lassen, ich bin mir ja noch nicht mal hundert pro sicher das dass ein Dialer ist aber sieht doch so aus oder??
 
Hallo,

wenn du nach MaXg Angaben nichts findest, kann die Datei auch versteckt sein.
Dann mußt du im Windows Explorer -> Extras -> Ordneroptionen -> Ansicht
bei "Alle Dateien und Ordner anzeigen" einen Haken setzen.
Anschließend nochmal suchen (lassen).

Schau auch mal mit einem R - Click auf die Netzwerkumgebung bei den Eigenschaften nach.
Dor muß der Dialer neben deiner T-Online Nummer ebenfalls drinstehen.
Die Verbindung löschen.
Aber damit ist der Dialer nicht verschwuinden.
Zur kompletten Reinigung deines PCs kannst du Hijackthis verwenden,
dadurch können die Registrierungseinträge des Dialers lokalisiert und manuell gelöscht werden.
Oder, du holst z.B. a² Personal und löst das Problem damit.

Grüße
arcanoa
 
Zuletzt bearbeitet:
Ein weiteres kleines aber nützliches Hilfsprogramm : CurrentPorts .
Es zeigt Dir sowohl alle aktiven Ports mit den dazugehörigen Anwendungen / Diensten an -
als auch alle internen / externen Verbindungen .
(Unter Win 98 / ME werden nur die Ports mit den Verbindungen angezeigt )


Desweiteren empfehle ich Dir den 0190 Warner :
Das Programm lässt nur explizit erlaubte Einwahlnummern zu und ist leicht zu bedienen .

Gruesse
SevenSpirits
 
Danke für eure Tipps nur leider kein Erfolg bis jetzt!
A2 funktioniert nicht lässt sich nicht updaten also auch nicht starten, this Hijacker hab ich mal durchlaufen lassen nur blick ich da nicht durch, ich stells mal einfach rein:

Logfile of HijackThis v1.98.2
Scan saved at 14:44:56, on 13.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\Jap\jap.exe
C:\Programme\Java\j2re1.4.2_05\bin\javaw.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\My Downloads\netstatGUI.exe
C:\WINDOWS\system32\rundll32.exe
C:\My Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wer-mit-wem.webhop.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [YAW starten] "C:\My Downloads\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [a²] "C:\My Downloads\a2\a2guard.exe"
O4 - Startup: JAP (2).lnk = C:\Programme\Jap\jap.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1097164183208
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C1B6166-0206-4027-B813-A47B0AA0A075}: NameServer = 217.237.151.225 217.237.150.225

PS: 0190 Warner hatte ich schon drauf gehabt nur der findet nichts außergewöhnliches!

Spybot hat was gefunden nennt sich:
" Common hijacker
umgeleiteter Host
www.spywarenuker.com 1 entrys"

Nur dann will ich das immunisieren geht aber nicht, folgende Fehlmeldung:

Fehler
Datei C:\Windows\system32\drivers\etc\hosts
kann nicht erstellt werden
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird


????????????????????????????????????????????
 
Die HOSTS-Datei ist System- und schreibgeschützt

Ach ja, das kann AUS
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
Der checkt Nero ab, ist Mumpitz.

Das auch, ist nur was von Nvidia
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Arbeitest du mit dem MS Messenger?
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
AUS sonst

Das hier solltest du prüfen, wie Webseite öffnet sich hier nicht:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wer-mit-wem.webhop.net/

Office:
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
Kann eigentlich auch aus, Infos hier:
http://frankn.com/html/ctfmon_exe.html
 
Weiterhin noch:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

http://wer-mit-wem.webhop.net/ muß auf jeden Fall raus.
Leider gibt der Log nicht mehr her.

Wenn du oder Spybot keinen Zugriff auf die Datei hat, hast du den Windows Explorer geöffnet.
Also erst einmal alle Programme beenden, bevor gelöscht werden soll.
Wenn du über Scannen/Suchen die Dialer Dateien nicht findest,
solltest du in den abgesicherten Modus und dort nochmal einen Scan durchführen.
Hier am besten im Explorer, wie oben beschrieben, bei der Ansicht in den Ordneroptionen,
zusätzlich noch den Haken bei "Geschützte Systemdateien ausblenden" entfernen, auch wenn Woindows meckert.
Dann nochmal alle genannten Scanner durchlaufen lassen.

Die Freeware a² Personal funktioniert einwandfrei.

Grüße
arcanoa
 
Zuletzt bearbeitet:
Ich werds dann nochmal versuchen danke aber die a 2 Personal krieg ich nicht zum laufen wenn ich die installiert habe will er direkt ein Internet update machen soweit so gut aber ich habe kein code den verlangt, na ja ich versuchs nochmal!
 
Um a² Personal aktivieren zu können mußt du dich auf der HP anmelden, dann bekommst du einen Code für den Freeaccount per Mail zugeschickt. Nach dem Eintragen startet das Programm sein Update.
 
Wäre schön gewesen, wenn wir deinen Lösungweg und den Namen des Dialers erfahren hätten.

Grüße
arcanoa
 
Der Name war wie schon gesagt


Command hijacker
( www.spywarenuker.de)

Ich habe wie du gesagt hast alle Programme geschloßen auch die Kontrollprogramme wie Antivirguard und die Firewall
und dann nochmal Spybot laufen lassen und dann hatt es anschließend endlich funktioniert, jetzt ist wieder erstmal alles clean!
Danke nochmal! :)

gruß Domme
 
Sorry meinte: "Common hijacker"

PS: Klasse wie man hier immer Hilfe bekommt echt Super!!!!!!!!


gruß Domme :)

adios
 
Zuletzt bearbeitet:
Gehe zu folgendem Link : http://cwshredder.net/bin/CWSInstall.exe und lade den CW Shredder runter. Schließe alle offenen Fenster und clicke den "FIX" Button, nicht den "Scan" Button. Wenn der CW Shredder fertig ist, starte den PC neu und führe den CW Shredder nochmals aus ( "FIX" Button ). Jetzt müsstest du das Problem los sein.

:)
 
Oben