Dialer hat sich eingenistet

[Werner Amort]

So ein Scheiß, bei mir hat sich ein Dialer irgendwo eingenistet.

AntiVir und Spybot konnten aber beide nix finden.

Jedoch immer wenn ich den Browser öffne (Mozilla), dann muss ich die Verbindungeinstelungen neu eingeben

mir änderts die Rufnummer Benutzernamen und Kennwort :puke: :puke:

Ich hab zwar bei unserem Telefonanschluss Mehrwernummern eh gesperrt, aber der Scheiß nervt schon gewaltig

Bearbeitet 6. Januar 2006 von Werner Amort

[Lacknase]

Bitte HijackThis herunterladen, und den OutPut unter

http://www.hijackthis.de/

auswerten lassen. Zur Not, wenn da nix rauskommt, was Dir weiterhilft, hier wieder posten. Ebenso, wenn Du zwar weißt, was es ist, aber nicht weißt, wie Du das Teil entfernen sollst.

Im übrigen würde ich aber eh über eine Neuinstallation nachdenken, wenn mal klar ist, was es war, und wie man eine neuerliche Infektion verhindert.

[Werner Amort]

Hallo

habe jetzt Auswertung durchgeführt

mit diesem Ergebniss:

http://www.hijackthis.de/logfiles/44dec4ac...e4acbbf142.html

wie werde ich die Bösen Dinger jetzt wieder los?

[Lacknase]

[1] Systemwiederherstellung auf allen Laufwerken deaktivieren.

[2] Im abgesicherten Modus hochfahren.

[3] System-Bereinigung laufen lassen.

[4] Adaware laufen lassen.

[5] Spybot laufen lassen.

Neustart.

Nochmal HiJackThis laufen lassen und hier Ergebnis melden.

[Werner Amort]

ich habe jetzt alles nach deiner Anleitung durchgeführt und siehe da Problem behoben!

Meine Providernummer bleibt gespeichert.

Das war leider eine verfrühte Entwarnung.

die Nummer blieb beim ersten mal trennen zwar gespeichert, jedoch beim zweiten mal, war wieder die falsche Nummer drinne

akteller Hijack Auszug

http://www.hijackthis.de/logfiles/8ceaba82...f861a2a0c6.html

Bearbeitet 7. Januar 2006 von Werner Amort

[ET3]

hast du in der registry mal gschaut?

[Lacknase]

[1] Abgesicherter Modus, deaktivierte Systemwiederherstellung.

[2] Mit dem Registry-Editor loslegen (Achtung! Du kannst hiermit Dein System schrotten, wenn Du mehr machst als Du sollst!)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad

Da sollte in dubioser Eintrag stehen, der sich auf das Laden von C:\WINDOWS\system32\vbsys2.dll bezieht. Den bitte von Hand löschen.

[3] Die angemahnten ActiveX-Elemente durch Löschen des Inhalts des Ordners c:\windows\DownloadedProgrammFiles entfernen.

[4] Den mit der Kennziffer 17 angezeigten LOP-Domain-Eintrag

HKLM\System\CCS\Services\Tcpip\..\{1D50A430-B9C4-443A-86EF-E79CD32A36DB}: NameServer = 213.21.141.3 213.21.164.3

von HiJackThis fixen lassen.

[5] Escan noch zusätzlich mal runterladen und durchlaufen lassen: http://virus-protect.net/escan.html

[6] Reboot, Test, Rückmeldung. Zur Not wieder mit HJT-Log.

[7] Sich auch immermal fragen, was einem SP2 mit WixDOS-Security-Center, Norton-AntiVirus-Kram und $KRASSESCHIEBEREGLERSICHERHEIT-mit-ZoneAlarm gebracht hat.

Für die Zukunft noch: http://www.trojaner-info.de/anleitungen/hi...utorial-p2.html