Informationsarchiv.net > Foren-Übersicht > Computerprobleme > Online- und PC-Sicherheit
Warum kostenlos registrieren?

Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.

Login


Hillllllffffeeee !!!!

Warnungen vor Sicherheitslücken und Hilfe beim Enfernen von Viren, Würmern und Trojanern.
Thema gesperrt

Hillllllffffeeee !!!!

Beitragvon nightstepper am 10.08.2004, 01:09

Hi @ all,

habe da ein großes Problem:

- ein Program (transfer.profidialer.de) versucht sich regelmäßig ohne mein zutun einzuwählen
- der Rechner wird mit der Meldung ``%systemroot%\system32\dumprep 0 -k `` heruntergefahren

Virus,...???
Wie bekomm ich den weg (Norton und andere Scaner finden nichts)?
Was muß ich tun damit Norten auch den erkennt und in Zukunft verhindert?


Danke im Voraus....Nightstepper

Anhang:

:( :( :( :( Logfile of HijackThis v1.98.0
Scan saved at 23:43:24, on 09.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Sicherheit\Norton\Internet\NISUM.EXE
C:\WINDOWS\System32\sstray.exe
D:\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\SICHER~1\WINPAT~1\WinPatrol.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
D:\Sicherheit\Norton\Internet\ccPxySvc.exe
D:\SICHER~1\Norton\SYSTEM~1\NORTON~1\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Sicherheit\Norton\navapsvc.exe
D:\Sicherheit\Norton\SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
D:\SICHER~1\Norton\SYSTEM~1\SPEEDD~1\nopdb.exe
D:\T-DSL SpeedManager\tsmsvc.exe
D:\GMX\GMX Internet-Manager\GMX_Internet_Manager.exe
D:\Download\HiJackThis_Last.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\SICHER~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Sicherheit\Norton\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Sicherheit\Norton\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WinPatrol] "d:\SICHER~1\WINPAT~1\WinPatrol.exe"
O4 - Global Startup: SATARaid.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Sicherheit\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Sicherheit\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\SICHER~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\SICHER~1\FlashGet\JetCar.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D820901-18CB-4D0F-80DB-E4B719AC5BB2}: NameServer = 217.237.151.33 194.25.2.129

:(
nightstepper
 
Beiträge: 2
Registriert: 10.08.2004, 00:16
Nach oben

Beitragvon Nikita am 10.08.2004, 10:45

Hallo @nightstepper

Gibt es wirklich nur eine DSL-Verbindung über ein ADSL-Modem und Netzwerkkarte besteht keine Gefahr einer 0190-Attacke, da bei DSL keine Telefonnummern verwendet werden - praktisch eine direkte Verbindung ins Internet.
Doch Vorsicht: Sobald eine ISDN-Karte oder Modem im Rechner zusätzlich installiert ist - selbst wenn man sich damit nicht in Internet einwählen will - besteht Gefahr. Viele haben eine zusätzliche ISDN-Karte installiert, um Datentransfers oder Faxe empfangen zu können. Auch gibt es nun schon Kombikarten (ADSL / ISDN) die ebenfalls eine Wählverbindung zulassen. In diesen Fällen besteht trotz DSL Gefahr.
........................................................................................................................

# Ueberpruefe mit Kaspersky
D:\Download\HiJackThis_Last.exe
http://www.kaspersky.com/remoteviruschk.html


Aufspueren und loeschen vom Dialer:
#Ein Blick in die Registry kann schon erfolgreich sein. Klicke hierfür auf “START” / “Ausführen” und gebe dann “regedit” ein. Klicke dann auf “Bearbeiten” und “Suchen”. Gebe dann Begriffe ein wie “Dialer”, “0190” oder den Namen bekannter Dialer ein.(profidialer)

#Findest du eventuell eine loadnew.exe ???
Program (transfer\profidialer)......suche und loesche dieseen Dialer !!!! (im HijackThis-Log ist nichts zu sehen)

#Lade mwav.exe und scanne <alle Dateien< und poste , was der Scanner als <infiziert< meldet.
http://www.mwti.net/antivirus/free_utilities.asp

#Spybot
http://www.safer-networking.org/de/download/index.html

Tipp:
#Wenn der Compi abstuerzt, scanne im abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

#mache eine Fehlerueberpruefung mit TuneUp 2004 (30Tage free)
http://www.tuneup.de/download/
..............................................................................................................................
0190-Warner 4.02/0900-Warner 4.02
http://www.dialerschutz.de/home/Downloa ... loads.html
Überwacht den Verbindungsaufbau über DFÜ-Netzwerk, CAPI 2.0 und TAPI-Verbindungen. Das kleine Programm arbeitet nach dem Prinzip einer Firewall. Es muss also jede neue Verbindung genehmigt werden, egal, ob es nun z.B. um eine 0190, 0900 oder eine andere Nummer handelt. Dabei protokolliert es jeden Verbindungsaufbau in einer Log-Datei. Gleichzeitig kann man vertrauenswürdige Nummern speichern. Anwählende Dialer können aus dem Speicher entfernt und dann von der Festplatte gelöscht, oder für spätere Beweiszwecke unter Quarantäne gestellt werden. Mit Online-Updatefunktion, Popup-Killer, Funktion zur Abschaltung des Windows-Nachrichtendienstes (Win 2000/NT) und Passwortschutz, falls Kinder am PC arbeiten. Version 4.02 verhindert auch, dass sich z.B. Auslandsdialer über die Faxschnittstelle des PC einwählen können. Freeware.

ODER:
#Lade, die Firewall Sygate und sperre den Dialer, wenn er rein will
http://smb.sygate.com/products/spf_standard.htm
Dadurch wirst du auch die verantwortliche Datei des Dialers herausfinden.

mfg
Nikita
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Danke

Beitragvon nightstepper am 11.08.2004, 23:06

Hi nikita,

danke für die Hilfe. Habe einen Eintrag in der Registrierung gefunden und diesen entfernt. Seit dem scheint Ruhe zu sein.
Werde das ganze auf jeden Fall weiter beobachten.

MfG nightstepper :D
nightstepper
 
Beiträge: 2
Registriert: 10.08.2004, 00:16
Nach oben

re

Beitragvon turmbauer am 12.10.2004, 23:55

Hallo.

Ich denke, mein Problem ist ähnlich und passt
auch gut zum Thema.


Ich habe seit kurzem T-Com DSL und gmx Volumen
mit dem Fritz Web DSL USB Modem und dem
dazugehörigen Fritzweb DSL Einwahlprogramm.

Seit dieser Zeit verzeichnet meine
Firewall einen ausgehenden Verbindungsversuch
zu transfer.profidialer.de

Auf der http Seite bekommt man die Meldung :

Powered by Binford 6100

Ich habe irgendwo gelesen, das hat was mit 1&1 zu tun ??

Was verursacht dieser Verbindungsversuch ?
Ich erkenne darin keine Zweckmässigkeit.


Viele Grüße und ganz grosses Lob für das Forum,
turmbauer




Hier ein log :

McAfee Firewall gab eine Warnung aus, dass das Programms "FRITZ!web DSL v3.04 / 1.00" im Ordner "C:\Programme\FRITZ!DSL\FritzDsl.exe" versucht hat, in einer Weise zu kommunizieren, die durch die Filterregeln des Programms nicht zulässig ist. Die Datenrichtung war ausgehend. Der IP-Protokolltyp lautet wie folgt: TCP/IP. Der Remote-Port war 80 [HTTP]. Der Domänenname war transfer.profidialer.de. Die IP-Adresse war 195.20.224.188. Die Antwort des Benutzers auf die Warnung war, die Kommunikation zu diesem Zeitpunkt nicht zuzulassen.






McAfee Visual Trace - Version 3.26 Ergebnisse
Ziel: 195.20.224.188
Datum: 12.10.2004 (Dienstag), 19:32:41
Knoten:2


Knotendaten
Knoten Netz Inh IP-Adresse Standort : Knotenname
1 - - 192.168.122.254 Unbekannt: Ihr Computer
2 1 1 195.20.224.188 Karlsruhe: transfer.profidialer.de


Paketdaten
Knoten Max Min Mittel Gesamt Verlust
1 0 0 0 1 0
2 ---- ---- ---- 2 2


Netzwerkdaten
Netzwerk-ID: 1
Schlund + Partner AG
Brauerstrasse 48
D-76135 Karlsruhe
Germany



Inhaberdaten
Inhaber-ID: 1


_____
Copyright © 1997-2002 Networks Associates Technology,
Inc. All Rights Reserved
turmbauer
 
Beiträge: 1
Registriert: 12.10.2004, 18:49
Nach oben

Beitragvon Nikita am 13.10.2004, 09:47

Hallo@turmbauer

HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save und kopiere das Log ins Forum

mfg
Nikita
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben
Thema gesperrt

Ähnliche Themen

Canon i350 druckt nicht HILLLLLLFFFFEEEE !!!! (Eilt...)
Forum: Hardware-Hilfe
Autor: Conkro
Antworten:
Notfall!!! HILLLLLLFFFFEEEE!!!!! Logitech MX518
Forum: Hardware-Hilfe
Autor: lion0610
Antworten:
Nach oben

Zurück zu Online- und PC-Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO