evt. dailer befall

  • #1
S

sina34

Guest
Hallo zusammen

hätte ma ne frage, hab in der registri unter folgenden Schlüssel HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\INTERNET SETTINGS\DOMAINS eine extrem lange liste entdeckt, die nach Dialer seiten aussieht


hier mal ein kleiner auszug aus der liste:

008i.com
0190-dialers.com
4corn.net
about-blank.biz
bestbabekiss.com
cimfel.com
domains2003.com

etc.

im rechten kontexmenue der registri steht überall das gleiche
Name * ----- REG_DWORD ----- 0x00000004 (4)


handelt es sich hier um ein problem oder hat das alles seine richtigkeit?

so bevor jetzt kommt poste mal ne HJT logfile, packe ich sie hinten mit ran, ist aber sauber.
habe auch schon sämtliche scans durchgeführt, ohne erfolg.

Logfile of HijackThis v1.99.1
Scan saved at 21:17:09, on 29.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Programme\eMule.de\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\sina\aEigene Dateien\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TClockEx] C:\DatumUhrTaskleiste\TCLOCKEX.EXE
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{4277CE4A-5F62-4023-9D24-9AE20B5CA75D}: NameServer = 213.191.92.82 213.191.74.11
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



danke paula76
 
  • #2
Name * REG_DWORD 0x00000004 (4)

so sieht es genau im kontexmenue aus, hatte die -------- als trennung gemacht.

gruß paula76
 
  • #3
sina34 schrieb:
unter folgenden Schlüssel HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\INTERNET SETTINGS\DOMAINS eine extrem lange liste entdeckt, die nach Dialer seiten aussieht

hier mal ein kleiner auszug aus der liste:

008i.com
0190-dialers.com
4corn.net
about-blank.biz
bestbabekiss.com
cimfel.com
domains2003.com
Zum Vergrößern anklicken....

meinst du evtl. diesen Schlüssel? ???
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

wenn ja, würde ich die Sachen alle rauslöschen.

Du findest die Einträge im Internet Explorer - Internetoptionen - Sicherheit - Vertrauenswürdige Sites.

pan_fee
 
  • #4
Ja, meinte diesen schlüssel, hab das CURRENT vergessen. :-[
unter IE - Internetoptionen - Sicherheit - Vertrauenswürdige Sites.
sind keine einträge zufinden.(in der zone sind keine sites vorhanden)

gruß sina34
 
  • #5
den schlüssel den du gepostet hast ist der komplette schlüssel, hab da etwas
durch einander gebracht jetzt, sorry

gruß sina34
 
  • #6
sina34 schrieb:
Ja, meinte diesen schlüssel, hab das CURRENT vergessen. :-[
Zum Vergrößern anklicken....
... und ZoneMap ;)

lösche die Einträge einfach in der Registry raus, sie haben da nichts zu suchen.

pan_fee
 
  • #7
so hab denn ganzen Domains ordner gelöscht, waren über 350 einträge

ich danke dir für deine hilfe

gruß sina34
 
  • #8
sina34 schrieb:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\INTERNET SETTINGS\DOMAINS eine extrem lange liste entdeckt, die nach Dialer seiten aussieht

hier mal ein kleiner auszug aus der liste:

008i.com
0190-dialers.com
4corn.net
about-blank.biz
bestbabekiss.com
cimfel.com
domains2003.com

etc.

im rechten kontexmenue der registri steht überall das gleiche
Name * -----  REG_DWORD ----- 0x00000004 (4)

handelt es sich hier um ein problem oder hat das alles seine richtigkeit?
Zum Vergrößern anklicken....

Hallo,

das hat seine Richtigkeit. Das sind Domains, die du dann im Internet Explorer unter Eingeschränkte Sites wiederfindest. Angelegt wurden diese Einträge von dem Programm SpywareGuard. Spybot S & D legt übrigens ein paar tausend dieser eingeschränkten Domains an.

Wenn du diese Einträge löscht, kannst du genau so gut den SpywareGuard deinstallieren.

SDNDNK
 
  • #9
@ PCDpan_fee

vielen dank für dein nicht fachlichen rat, wie ich jetzt auch in einen anderen forum auch erfahren habe, hast du mir ganz schöne scheisse geschrieben.


@ SetzDichNimmDirNKeks
leider auf den falschen gehört, trotzdem danke

gruß sina34
 
  • #10
Bitte thema schliessen.
 
  • #11
SetzDichNimmDirNKeks schrieb:
Hallo,

das hat seine Richtigkeit. Das sind Domains, die du dann im Internet Explorer unter Eingeschränkte Sites wiederfindest.
Zum Vergrößern anklicken....
Hm, aha. Wann genau legt Spybot die denn an?
Hab das gerade mal im Testsystem nachstellen wollen, habe Spybot installiert und dann in die Reg geschaut. Siehe da, nicht ein Eintrag im genannten Schlüssel.
Hilf mir dann doch bitte ma auf die Sprünge...
 
  • #12
PCDFlocke schrieb:
Wann genau legt Spybot die denn an?
Zum Vergrößern anklicken....

Im Zuge der Immunisierung werden diese angelegt. Dann findest du sie auch unter dem Reg-Key.

SDNDNK
 
  • #13
sina34 schrieb:
@ SetzDichNimmDirNKeks
leider auf den falschen gehört, trotzdem danke
Zum Vergrößern anklicken....

Du solltest dich nicht allzu sehr auf solche Software-Programme und solche Funktionen verlassen. Dass der SpyGuard immerhin ca. 350 böse Domains blockiert ( zumindest wird u. a. das Installieren nicht signierter ActiveX-Control verhindert ), ist zwar ganz nett gemeint, aber letztlich nicht besonders effektiv.

Spybot S & D bringt es ja bereits auf ein paar tausend Domains, kann aber natürlich auch nichts längst alle bösen Domains blockieren, da diese natürlich auch ständig variieren und erweitert werden.

Anstatt dich also auf solche Programme, die nur unzulänglich arbeiten können, zu verlassen, solltest du das Übel an der Wurzel packen:

Der meiste Adware- / Spywaremüll wird über den Internet Explorer mit Hilfe von ActiveX installiert, ohne dass der Anwender selbst aktiv werden musste. ActiveX sollte daher deaktiviert werden, was das Surfen aber definitiv unkofortabler macht, da gleich alle Plug-Ins mit deaktiviert werden.

Zum Surfen könntest du einen Browser nutzen, der diese Technik ( ActiveX ) standardmässig gar nicht unterstützt. Dann hast du solche Probleme erst gar nicht.

http://www.firefox-browser.de/

Für das automatische Windows-Update benötigst du jedoch nach wie vor den Internet Explorer.

Spy- / Adware gelangen auch häufig über den Anwender selbst auf den Rechner. So bringen häufig Programme, die grosse Datenmengen schaufeln, wie zum Beispiel Download-Manager und Messenger, gleich jede Menge Spy- / Adware mit, die sog. Sponsoren.

SDNDNk
 
  • #14
@ SetzDichNimmDirNKeks

ich danke dir für diese infos, surfen auch nur mit dem Firefox.
da es nicht mein rechner ist lasse ich spyguard drauf.

zum thema IE erspare ich mir weiteres.

lg sina34


Bitte thema schliessen
 
  • #15
SetzDichNimmDirNKeks schrieb:
Im Zuge der Immunisierung werden diese angelegt. Dann findest du sie auch unter dem Reg-Key.
Zum Vergrößern anklicken....
:)

Ok, also eigentlich soll das wohl passieren, aus unerfindlichen Gründen isses aufm Testsys nicht passiert.

Gut, nach nem Update der Software hat sich das erledigt. :)
 
  • #16
PCDFlocke schrieb:
Gut, nach nem Update der Software hat sich das erledigt. :)
Zum Vergrößern anklicken....

Hätte mich auch gewundert.

24111403485.jpg


24111392651.jpg
 
Thema:

evt. dailer befall

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.961
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben