Dialer? Trojaner?

[nepumuck]

Hallo!
Ich hatte vor ca 2 Wochen nen Dialer und nen Virus auf dem Rechner!
Mitlerweile schiebe ich Paranoia weil sich seitdem bei mir dauernd irgendwas automatisch verstellt! Ich wäre dankbar wenn sich jemand mein Hijackthis log mal anschauen könnte!
Außerdem findet mein Norton eine Adware. Adware.Keenval im
Widows\Lycos\ss_IGN_setup.exe. Die ich weder mit Adaware noch mit Spybot loswerde!
Danke im voraus!!!

Logfile of HijackThis v1.97.7
Scan saved at 14:29:54, on 23.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Trust\280KSK~1\Keyboard\Ikeymain.exe
C:\PROGRA~1\Trust\280KSK~1\Mouse\Amoumain.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Telekom\T-Sinus 620data\Capictrl.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\33311816\Eigene Dateien\Eigene Musik\Jens\Neuer Ordner\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Trust\280KSK~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Trust\280KSK~1\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\T-Sinus 620data\routcnf.exe /capiactive
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\defender.exe"
O4 - HKLM\..\Run: [CcApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/ ... scan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{47EC615D-7121-4F57-8FEB-35888E673705}: NameServer = 217.237.151.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{47EC615D-7121-4F57-8FEB-35888E673705}: NameServer = 217.237.151.33 194.25.2.129

[Nikita]

1... die Wiederherstellung voruebergehend abschalten.

2... CWShredder laden und im abgesicherten Modus scannen (fixen)

http://board.protecus.de/showtopic.php? ... 810209853b


3.. um die Widows\Lycos\ss_IGN_setup.exe zu loeschen, (im Log nicht enthalten ????)
Du musst im Exporer unter EXtras/Ordneroptionen/Ansicht/Versteckte Dateien und Ordner "Alle Dateien und Ordner anzeigen"

4... im abgesicherten Modus muesstest du die exe loeschen koenne.

5...Den Virenscann \Spyware mit Norton\AdAware solltest du ebenfalls im abgesicherten Modus noch einmal machen.

6...Dann lade den ClearProg und saeubere den Browser.
http://www.clearprog.de/

Ansonsten schreibe mal, was denn konkret mit dem Comp. geschieht, aus deinem Bericht wird man nicht recht schlau....(automatisches Verstellen..irgendetwas ...???)

----------------------------------------------------------------------------------------
Falls du wirklich den Adware.Keenval hast, wie du schreibst, dann lies dir mal durch, wie man das wegbekommt.
http://www.sarc.com/avcenter/venc/data/ ... enval.html

---------------------------------------------------------------------------------------

Lade den Firefox als Zweitbrowser....da hast du praktisch keine Probleme mehr mit AdWare..
http://www.firebird-browser.de/

MfG
Nikita

[nepumuck]

Erstmal besten Dank für die Antwot!
Ich habe soweit alles gemacht was Du geschrieben hast!
Verstehe ich das jetzt richtig das bei mir soweit alles in Ordnung ist?
Die Probleme die bei mir auftreten sind das sich plötzlich die Farben der Fenster etc. verändern,die Taskleite und Ordnereigenschaften werden plötzlich verändert! Ich kann diese Änderungen meist erst nach Tagen
und diversen Neustarts manuell korrigieren!
Norton Antivir zeigt bei der Systemprüfung folgendes an.
Quelle: C:\Windows\Lycos\ss_IGN_setup.exe
Beschreibung: Die Datei C:\Windows\Lycos\ss_IGN_setup.exe ist eine Adware Bedrohung.
Aber das habe ich ja schon geschrieben!
Soweit ich das sehe kann ich nur das komplette setup löschen kann ich das ohne das sich irgendwas dramatisches passiert?
MfG Nepumuck

[nepumuck]

Was ich noch vergessen habe zu fragen!
Was hat das im Hijackthislog unter O17 zu bedeuten?
MfG
Nepumuck

[Nikita]

Wenn Norton dir diese exe als bedrohlich anzeigt, dann musst du sie loeschen.
Vielleicht ist es irgendein Freeware-Programm , was du bei Lycos runtergeladen hast, was Norton nicht zusagt....
Loesche es im abgesicherten Modus, wie schon erklaert.

Was die 017 betrifft, so ist es keine Bedrohung, wenn die Angabe zu deinem Internetanbieter gehoert.
Waere es folgendes, muesste man es fixen:

O17 - Lop.com domain hijacks

Malware.........................................................................................
O17 - HKLMSystemCCSServicesVxDMSTCP: Domain = aoldsl.net
O17 - HKLMSystemCCSServicesTcpipParameters: Domain = W21944.find-quick.com
O17 - HKLMSoftware..Telephony: DomainName = W21944.find-quick.com
O17 - HKLMSystemCCSServicesTcpip..{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

----------------------------------------------------------------------------------
If the domain is not from your ISP or company network, have HijackThis fix it.

MfG
Nikita

[nepumuck]

Alles klar!

Vielen Dank für Deine hilfe!

Mfg
Nils