Hilfe bei Dialer Hotxxx Einstellungen

[jeeper]

Hallo an alle. Habe anscheinend den Hotxxx dialer eingefangen.
Die üblichen Verdächtigen an Removertools sind leider nicht funktionell.
Habe ein Log erzeugt, automatisch ausgewertet und die mit rot gekennzeichneten gelöscht. Hat leider nix gebracht. Hier nochmals das neue log. Bitte um Hilfe.

Logfile of HijackThis v1.98.0
Scan saved at 20:47:53, on 20.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\I81SHELL.EXE
C:\WINDOWS\MIXER.EXE
C:\PROGRAMME\SCANSOFT\PAPERPORT\FBDIRECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\AONINFORMER\INFORMER.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\IBMTOOLS\APTEZBTN\APTEZBP.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\BSGVWA.EXE
C:\WINDOWS\SHMAN.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\COREL\GRAPHICS8\PROGRAMS\MFINDEXER.EXE
C:\PROGRAMME\SCANSOFT\PAPERPORT\CONFIG\EREG\REMIND32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\MSMI32.EXE
C:\WINDOWS\TEMP\MSMRG.EXE
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\BW7OF11K\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.at/0SEDEAT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.miosearch.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
F1 - win.ini: run=hpfsched
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\DE-AT\MSNTB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [I81SHELL] I81SHELL.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [PP7600usb] C:\PROGRA~1\SCANSOFT\PAPERP~1\FBDirect.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [jservice] C:\PROGRAMME\AONINFORMER\INFORMER.exe
O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [zqsbgg] C:\WINDOWS\SYSTEM\bsgvwa.exe
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-kazemule-00\index.html
O16 - DPF: ConferenceRoom Java Client - http://chat.rainbow.or.at/java/cr.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab28177.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab

[raman]

fix bitte folgendes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.at/0SEDEAT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.miosearch.com
O4 - HKLM\..\Run: [zqsbgg] C:\WINDOWS\SYSTEM\bsgvwa.exe
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE

Neu starten und deise Dateien bitte an virus@rokop-security.de schicken:
C:\WINDOWS\SYSTEM\bsgvwa.exe
C:\WINDOWS\shman.exe
C:\WINDOWS\TEMP\MSMRG.EXE

und das verzeichniss loeschen: C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH

[edit: Email korrigiert! ]

Der Beitrag wurde von raman bearbeitet: 21.07.2004, 13:32

[paff]

Neu starten und deise Dateien bitte an virus@rokop-seurity.de schicken:
C:\WINDOWS\SYSTEM\bsgvwa.exe
C:\WINDOWS\shman.exe
C:\WINDOWS\TEMP\MSMRG.EXE

@jeeper
die EMail Adresse ist
virus@rokop-security.de

Gruß paff

Der Beitrag wurde von paff bearbeitet: 20.07.2004, 21:12

[jeeper]

Der befallene Rechner steht bei einer Kundschaft von mir. Sobald ich wieder Zugriff darauf habe werde ich die Dateien senden.
Erst mal Danke für die schnelle Hilfe.

[raman]

Diese Datei C:\WINDOWS\shman.exe ist wohl Backdoor.webdor.e. Scheint relativ weit verbreitet zu sein!?

[jeeper]

So, gute Nachricht: Das fixen hat funktioniert. Vielen Dank.
Die schlechte: Als mir der Kunde die drei gewünschten Dateien gesendet hat die mein Virenscanner sofort gelöscht und sind somit leider ned verfügbar.

[raman]

Kein Problem. Hast du denn zufaellig die Virennamen, die gemeldet wurden?

[jeeper]

Ja.
gemeldet wurden:

Adware.Binet
und
Dialer.OneOnOne

[Manu]

Beschreibungen dazu:

http://sarc.com/avcenter/venc/data/adware.binet.html
und
http://securityresponse.symantec.com/avcen...r.oneonone.html