[Dialer] Schon wieder da!!!!

[Domme]

Schon wieder da!!!!

Hallo nochmal!!

Ich hatte vor kurzem noch über meinen angebliche Erfolg gegen den Dialer (common hijacker) geschrieben nur jetzt ist er schon wieder da also langsam wirds mir echt zu bunt !!

Na ja erstmal zum verständniss, netstat findet schon wieder das hier:

*** netstat.exe -a -p TCP - 15.11.2004 03:09:32 ***

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP domme:echo domme:0 ABHÖREN
TCP domme:discard domme:0 ABHÖREN
TCP domme:daytime domme:0 ABHÖREN
TCP domme:qotd domme:0 ABHÖREN
TCP domme:chargen domme:0 ABHÖREN
TCP domme:18350 domme:0 ABHÖREN
TCP domme:1027 0190-dialer.com:18350 HERGESTELLT
TCP domme:1108 0190-dialer.com:kpop HERGESTELLT
TCP domme:kpop 0190-dialer.com:1108 HERGESTELLT
TCP domme:18350 0190-dialer.com:1027 HERGESTELLT

Antivir, Spybot, AdAware, xpClean, stinger keiner findet was!!!!

Wie krieg ich den mißt weg????????

hier auch nochmal ne log vom hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 03:14:52, on 15.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\My Downloads\netstatGUI.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Security Task Manager\taskman.exe
C:\My Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: JAP (2).lnk = C:\Programme\Jap\jap.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1097164183208
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C1B6166-0206-4027-B813-A47B0AA0A075}: NameServer = 217.237.151.225 217.237.150.225

Ich danke schonmal im vorraus für eure Hilfe!!!!!!!!!!!!
Ich hab echt keine Ahnung was das ist!!!!!!!!!!!!!!!!!!!!

 

[JensusUT]

Hm... Auf den ersten Blick finde ich nichts ungewöhnliches...
Hier mal der Link zur Onlineauswertung: http://www.hijackthis.de/logfiles/04be7aedcf9a38d2f9c47bb4f2dafcca.html

C:\My Downloads\netstatGUI.exe ist wohl für deinen Netstat-Auswertung?

Woher diese 0190-Dialer-Einträge kommen...?

 

[Domme]

Ich weiß echt nicht mehr weiter!!!
Mann muß den Dialer doch irgendwie entfernen können, oder?
Mein Latein ist am Ende!

Gibt es denn kein Programm was den Mißt findet und vernichtet??

 

[Brummelchen]

Das hier kann raus, insofern du keine externen Geräte synchronisieren musst

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

Vielleicht einfach man den scheiss (!) ICQ und MS-Messenger beim Autoistart rausnehmen.

ICQ ist ein Scheunentor für alles Mögliche.

Zudem sehe ich, dass du einfach ZU VIELE Sicherheits,
Anti-Dingenskirchen Suchtools am laufen hast. Grenzt schon an
Paranoia sowas. Muss alles nicht sein.

PS wer viel mißt, mißt Mist.

 

[Domme]

Paranoia ist das sicherlcih nicht, nur wenn man nicht weiß wie man so ein Ding wegkriegen soll dann versucht mann es halt mit vielen Programmen nur bis jetzt leider alles erfolglos!!!!!

 

[Brummelchen]

Wenn Programme nicht helfen, sollte mal die Vernunft ran

Einfach mal alles ausschalten, was geht und schauen, was dann passiert.

 

[Domme]

Hilft mir echt weiter!!!!!!!!

Ist wohl logisch das der Dialer erst dann aktiv wird wenn ich mich ins Internet einwähle, zwar kann mir nichts passieren aufgrund eines DSL aber trotzdem würde ich ihn gerne loswerden!!!!

Sobald ich den Virenscanner durchlaufen lasse oder AdAware, Spybot oder Stinger schließe ich vorher alle Programme auch im Abgesicherten Modus hab ich schon alles durch gescannt, da hat
Antivir einen Java Virus gefunden nannte sich "Java/Femad" aber das Problem besteht weiterhin und netstat führt wie folgt aus:

*** netstat.exe -a -p TCP - 15.11.2004 19:54:34 ***

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP domme:echo domme:0 ABHÖREN
TCP domme:discard domme:0 ABHÖREN
TCP domme:daytime domme:0 ABHÖREN
TCP domme:qotd domme:0 ABHÖREN
TCP domme:chargen domme:0 ABHÖREN
TCP domme:18350 domme:0 ABHÖREN
TCP domme:1027 0190-dialer.com:18350 HERGESTELLT
TCP domme:1071 0190-dialer.com:1072 HERGESTELLT
TCP domme:1072 0190-dialer.com:1071 HERGESTELLT
TCP domme:18350 0190-dialer.com:1027 HERGESTELLT


:wand

 

[JensusUT]

Brummelchen, meistens hast du ja von dem, was du schreibst, Ahnung... wenn dem mal nicht nicht so ist, lass es doch einfach bleiben.
Die Sicherheitstools sind doch alle ok, oder siehst du 2 Virenscanner oder 2 FWs oder was stört dich? Und ICQ und der Messenger ist vielleicht nicht dein Ding, aber Domme möchte den Dialer loswerden und keine Belehrung erhalten, was gut für ihn ist und was nicht.

@Domme: Schau dir mal deine Hosts-Datei im Verzeichnis "C:\WINDOWS\system32\drivers\etc\hosts " an. Siehst du dort irgendwelche Einträge? Z. B. 81.211.105.6 www.0190-dialer.com oder so?

Schau dir mal diesen Thread an: Helfen evtl. die Tipps mit dem Virenscanner?

(Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp )

Oder noch etwas weiter unten?

Ansonsten habe ich nur etwas über Online-Dialer gefunden... Wenn es hilft...

Mal ehrlich: Firefox oder Opera (Oder auch Opera oder Firefox) sind eigentlich ganz nett

Gruß
Jensus

 

[Jurek]

Schau mal dir das, was ich in deinem ersten Thread geschrieben habe! Vielleicht hilfts

 

[Brummelchen]

@Jensus

Das Problem liegt eher darin, dass zu viele programme aktiv sind und
Domme da nicht durchblickt, woher die nun alle kommen.

Laut Liste ist alles soweit ok, ich erkenne nichts ungewöhnliches.
Daher kannich nur raten, alles abszuschalten und auch die Pfade zu
verfolgen, ob das auch alles stimmt, was da steht.
Zudem ist doch bekannt, dass es Programme gibt, die sich vor allem
möglichen verstecken - Dialer gehören auch dazu.

>> Antivir einen Java Virus gefunden nannte sich "Java/Femad"

Dazu sollte man wissen, dass Java 1.5x erhebliche Sicherheitslöcher hat,
die bei der 1.4x nicht vorhanden waren, geh mal bei Cosmo suchen

Und wie gesagt, wenn die Technik versagt, ...

Was noch nicht genannt wurde - wie sehen die DFÜ-Verbindungen aus ???
Sind die 100% kontrolliert in den Details? Dann kann man sich lange nen Wolf suchen.

 

[Domme]

Danke erstmal für eure Hilfe aber nach allen genannten Lösungsvorschlägen ist immer noch alles beim alten auch die Verbindungen hab ich gecheckt ist ja nicht so das ich überhaubt keine ahnung habe aber ich find den einfach nicht !!!

Ich werde jetzt nochmal meine Daten hier zeigen und vielleciht kann jemand ja was daraus entnehmen, ich leider nicht
Ich bin jetzt 3Tage auf einem Seminar mal schauen ob bis dahin AntiVir oder AdAware das dann nach dem Update finden werden na ja ich danke euch trotzdem erstmal!!

hijackthis
ogfile of HijackThis v1.98.2
Scan saved at 23:39:35, on 15.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\My Downloads\security suite\ewidoctrl.exe
C:\My Downloads\security suite\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\XPcleanv5\XPclean.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\My Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1097164183208
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C1B6166-0206-4027-B813-A47B0AA0A075}: NameServer = 217.237.151.225 217.237.150.225



Und nochmal ne log vom netstat

Nennt sich jetzt nicht mer 0190-com warum auch immer

*** netstat.exe -a -p TCP - 15.11.2004 23:41:33 ***

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP domme:echo domme:0 ABHÖREN
TCP domme:discard domme:0 ABHÖREN
TCP domme:daytime domme:0 ABHÖREN
TCP domme:qotd domme:0 ABHÖREN
TCP domme:chargen domme:0 ABHÖREN
TCP domme:18350 domme:0 ABHÖREN
TCP domme:1071 www.nutzwerk.com:http SCHLIESSEN_WARTEN
TCP domme:1025 0-ol1oiz-xolxii1-oxli10ozl1l1-o-l-11-iizxp-l-0o-oll11iz0oil-ol.com:18350 HERGESTELLT
TCP domme:1072 0-ol1oiz-xolxii1-oxli10ozl1l1-o-l-11-iizxp-l-0o-oll11iz0oil-ol.com:1073 HERGESTELLT
TCP domme:1073 0-ol1oiz-xolxii1-oxli10ozl1l1-o-l-11-iizxp-l-0o-oll11iz0oil-ol.com:1072 HERGESTELLT
TCP domme:18350 0-ol1oiz-xolxii1-oxli10ozl1l1-o-l-11-iizxp-l-0o-oll11iz0oil-ol.com:1025 HERGESTELL

Vielleichtt geht ja einem ein Licht auf :angel und weiß wie das Ding zu beseitigen ist!!!!!!

adios

 

[Brummelchen]

Was ist eigentlich das hier für ein Mist ???

C:\My Downloads\security suite\ewidoctrl.exe
C:\My Downloads\security suite\ewidoguard.exe

Normalerweise stehtdas hier:

>> C:\Programme\ewido\security suite\

So ziellose Installationen, ne ne

Und welcher Host ist das hier ???

O17 - HKLM\System\CCS\Services\Tcpip\..\{9C1B6166-0206-4027-B813-A47B0AA0A075}: NameServer = 217.237.151.225 217.237.150.225

Der steht bei mir unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{444D1C3E-6F64-427C-8B15-9E0727D1D1FA}

>> Vielleichtt geht ja einem ein Licht auf und weiß wie das Ding zu beseitigen ist!!!!!!

Ok, mit 100 Euro die Stunde (von dir an mich ) komme ich vorbei
(zzgl An/Abfahrt)

 

[Domme]

Erstmal sind das keine ziellosen Installationen sondern nur vorläufige und wie ich meine Ordnung in meinem Rechner halte darüber brauchst du dir wirklich keine Sorgen zu machen und einen Heimdienst brauch ich auch nicht , Danke!!!

 

[Tequilla]

Das Zeug steht mit Sicherheit nur in der hosts, lass mal AdAware drüber laufen wenn Du es nicht selber editieren willst

 

[Franz]

Fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about :blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about :blank

Ebenfalls fixen würde ich:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Damit wird dein Zugriff auf die Internetoptionen des IE blockiert.

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

ebenfalls fixen.

Denkst beim nächsten Scannen (von AntiVir oder AdAware im abg. Modus) bitte daran, versteckte und Systemordner anzeigen zu lassen?
Vermutlich versteckt er sich.
Die about - blank Seiten zeigen nämlich einen Searchassistent an.

Grüße
arcanoa

 

[Brummelchen]

@Domme - ist dein Rechner, Gott sei dank. Aber ohne Ordnung keine
Übersicht und die felht hier anscheinend.
Und da du keinen richtigen Plan hast und auch unsere Hilfe irgendwie
nicht weiterhilft, kann nur ein Heimdienst richtig helfen, die Nase in
die Bytes stecken
Es waren viele vor dir da mit ganzen Tabellen etc , denen konnte man
auch nicht so recht helfen.

PS brauchst auch nicht auf weitere Hilfe hoffen

 

[Domme]

"Leider alles beim alten"

Vielen vielen Dank nochmal an euch für eure Hilfe !!!!
Nur das Problem ist das er immer noch irgendwo in meinem Rechner sitzt! :wand !!!
!!!!!!!!!!!!!Wahnsinn dieser Dialer oder was auch immer das sein soll!!

Na ja, ich habe jeden Tip von euch angewendet, wirklich jeden!! Habe alles durchscannen lassen (AntiVir, AdAware, Spybot, a2, xp clean, CW Shredder, hjack this "alle aktuellen Stand") sowie im Abgesicherten aber auch im normalen Modus, auch die Versteckten Dateien und Systemdateien habe ich in der Ansicht aktiviert!!

Die letzte Meldung b.z.w der letzte Fund heute nach meinem Update von AntiVir war:

EIN TROJANISCHES PFERD "TR/click VenzilA.3"

Aber das war er anscheinend auch nicht

Ich stell einfach nochmal meine aktuellen logs rein:
___________________________________________________________________________
NetStat:
Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP domme:echo domme:0 ABHÖREN
TCP domme:discard domme:0 ABHÖREN
TCP domme:daytime domme:0 ABHÖREN
TCP domme:qotd domme:0 ABHÖREN
TCP domme:chargen domme:0 ABHÖREN
TCP domme:18350 domme:0 ABHÖREN
TCP domme:1026 0-ol1oiz-xolxii1-oxli10ozl1l1-o-l-11-iizxp-l-0o-oll11iz0oil-ol.com:18350 HERGESTELLT
TCP domme:1195 0-ol1oiz-xolxii1-oxli10ozl1l1-o-l-11-iizxp-l-0o-oll11iz0oil-ol.com:1196
HERGESTELLT
TCP domme:1196 0-ol1oiz-xolxii1-oxli10ozl1l1-o-l-11-iizxp-l-0o-oll11iz0oil-ol.com:1195 HERGESTELLT
TCP domme:18350 -ol1oiz-xolxii1-oxli10ozl1l1-o-l-11-iizxp-l-0o-oll11iz0oil-ol.com:1026 HERGESTELLT
____________________________________________________________________________
hjackthis:
Logfile of HijackThis v1.98.2
Scan saved at 21:07:40, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\My Downloads\netstatGUI.exe
C:\My Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1097164183208
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C1B6166-0206-4027-B813-A47B0AA0A075}: NameServer = 217.237.151.225 217.237.150.225

____________________________________________________________________________
Ich werd es mal einfach weiterversuchen irgendwann werd ich ihn finden und dann :boxer !!


PS: @Brummelchen, von dir erwarte ich auch keine Hilfe mehr, ich glaube hier sind noch ein paar andere die mir helfen wollen und es auch schon gut versucht haben ohne mich belehren zu wollen!! und ich komme mit meiner Ordnung auf meinem rechner sehr gut klar!!!
Und ich habe mehr Plan wie du glaubst!!!!

ADIOZ

 

[JensusUT]

Boah, Domme... eine harte Nuss, ehrlich!
Mit Verlaub: Eine Neuinstallation mit anschliessendem Erstellen eines Images scheint bald die einzig sinnvolle Lösung zu sein. Ich bin jedenfalls mit meinem Latein am Ende ...
Viel Glück!

Gruß
Jensus

 

[Domme]

Wirklich harte Nuss

Ja find ich auch das ist irgendwie heftig !!i
Ich hoffe mal das ich den Hammer (Format C) noch nicht rausholen muß mal schauen ob ich es irgendwie abwenden kann :smokin

Jetzt alles oder nichts!!! :boxer

 

[ewok]

Alles machen was da steht!!!

http://www.rokop-security.de/main/article.php?sid=703