Brei Geschrieben 3. September 2003 Geschrieben 3. September 2003 Hallo Vorab, mein Betriebssystem ist WinXP home SP1 ich hab mir mal mehr oder weniger einen Dialer eingefangen (ich denke ich hab nich blechen müssen) Hab halt dann auf der Festplatte und in der Registry gesucht, wo sich der sonst noch so verseckt hat. In der Registry hab ich dann halt einige "dialer"-Einträge gelöscht, die ich für "bösartig" empfunden habe. Danach konnte ich mich nicht mehr ins Netz einwählen (bin noch mit Modem unterwegs). Danach hab ich versucht ein paar Dialer-Einträge wieder in die Registrierung reinzuschreiben, in dem ich von ner andern Registry die dialer-Einträge übernommen habe. Ging trotzdem nicht. Dann hab ich die Wiederherstellungsoption genutzt. Hat funktioniert. So, dann hab ich wieder die Registrierung durchsucht um zu schauen was den nun gefehlt hat. Da waren dann so Einträge ganz tief drinnen mit Namen wie Codebase und als Wert dann eine Internetadresse. Was bedeutet das? Hab unten einen Bildauszug: Unter einem ewig langen Schlüssel ist dieser Wert eingetragen: http://connect.online-dialer.com/MaConnect.cab Was stellt das dar? Dialer? Was von windows? Zitieren
wicked Geschrieben 4. September 2003 Geschrieben 4. September 2003 ich weiß es nicht. aber vom gefühl her glaub ich wirklich nicht dass es ein standard bestandteil von windows ist. Zitieren
Hüsi Geschrieben 4. September 2003 Geschrieben 4. September 2003 servus, glaub auch nicht, dass der eintrag von windows stammt. aber bei microsoft :confused: *duck* installier dir doch einfacher mal yaw. damit kannst du zum einen sicher gehen, dass nur autorisierte telefonnr. angewählt werden und ein dialer-scanner ist auch dabei... greetz König Hüsi p.s. sehr aussagekräftiger tread-titel;) Zitieren
Brei Geschrieben 6. September 2003 Autor Geschrieben 6. September 2003 hmm, ich denk mir ja auch, dass das nicht unbedingt zu windows gehört. Aber auf alle Fälle kann ich ohne diesen Eintrag nicht ins Internet. Da werd ich dann mal den Dialer-Scanner auf Mission schicken Zitieren
DX-Rated Geschrieben 8. September 2003 Geschrieben 8. September 2003 Original geschrieben von b-r-e http://connect.online-dialer.com/ Diese komische Adresse kenn ich... Es ist irgendwie seit einiger Zeit so, dass ich einige Internet Adressen nicht mehr erreichen kann und einfach automatisch zu diesem connect.online-dialer.com geleitet werde. Dort folgt dann die Aufforderung, was zu installieren. Natürlich klick ich das immer weg, aber das nervt und auf die Seite auf die ich will komm ich nicht. Ich hab absolut keinen Plan was das ist oder wie man das wegbekommt, aber es nervt gewaltig. (Hab DSL) Zitieren
striper Geschrieben 8. September 2003 Geschrieben 8. September 2003 Hallo zusammen, Quelle Google Newsgroups: ##################################################### It sounds like you've been hijacked. If you go to this page at Jim Eshelman's site, here: http://aumha.org/a/noads.htm and wait a little bit (be patient), an analysis of a number of possible parasites on your machine will be made to help you identify and remove them. NOTE: You will need to disable Ad Blocking in Zone Alarm 3.x, if present or any other Ad Blocking software which interferes with Java Scripting for this scan to work. You should get a message between the two lines of **** giving the results of the scan. For the general hijack case, the best way to start is to get Ad-Aware 6.0, Build 162 or later, here: http://www.lavasoftusa.com/support/download/. Update and run this regularly to get rid of most "spyware/hijackware" on your machine. Another excellent program for this purpose is SpyBot Search and Destroy available here: http://security.kolla.de/ SpyBot Support Forum here: http://www.net-integration.net/cgi-bin/forums/ikonboard.cgi. I recommend using both normally. After fixing things with SpyBot S&D, be sure to re-boot and rerun SpyBot again and repeat this cycle until you get a clean "no red" scan. Note that sometimes you need to make a judgement call about what these programs report as spyware. See here, for example: http://www.imilly.com/alexa.htm Lastly, a very useful utility for examining your system and correcting problems is Hijack This, which you can download here: http://www.spywareinfo.com/~merijn/files/hijackthis.zip See also, HijackThis Quick Start Help, http://www.tomcoyote.org/hjt/ (Recommended) This site has a number of useful references and information also: http://www.spywareinfo.com/articles/hijacked/ and here http://www.spywareinfo.com/downloads.php Another program giving a good inventory of all of the possible start vectors is AutostartExplorer, here: http://www.misec.net/aexp.jsp While it doesn't allow control of startups, it's extremely comprehensive in examining all of the possible sources. Highly Recommended Next, go here: http://www.mlin.net/StartupCPL.shtml and get Mike Lin's Startup Control Panel applet. A somewhat more difficult to use but more extensive program to do the same thing is StartupList from here: http://www.lurkhere.com/~nicefiles/index.html, or even better, Autoruns from here: http://www.sysinternals.com/ntw2k/source/misc.shtml#autoruns. Be very careful about doing any Registry modifications directly unless you're comfortable with this, and be sure that you BACKUP your Registry before making any changes, so that you can recover if something goes wrong. Changes made with StartUpCPL are less likely to cause problems, and are usually a matter of just re-enabling the particular program. Another program of this type that I can recommend is StartMan, free, here: http://www.spywareinfo.com/downloads/startman/. If you have problems with suspected hijackers, you can look up and investigate suspect programs in your StartUp lists here: http://www.pacs-portal.co.uk/startup_pages/startup_full.htm (Recommended) http://www.3feetunder.com/krick/startup/list.html (Recommended) http://www.answersthatwork.com/Tasklist_pages/tasklist.htm (Recommended) Some hijackers install themselves as Browser Helper Objects. Get BHOCop here: BHO Cop http://www.pcmag.com/article2/0,4149,270,00.asp (Unfortunately, no longer free from that link but you can read about it there, and here is a direct download link for it: http://websec.arcady.fr/bhocop.zip) and take a look at what BHO's are currently installed. Some things like AdShield and Acrobat are normal, but if you see something that doesn't make any sense, try disabling it and see if that helps. Another excellent program for this same purpose is BHODemon, (still free) here: http://www.definitivesolutions.com/ or here: http://www.spywareinfo.com/downloads/bhod/ I would recommend both. You can also check/control BHO's using the Tools function of SpyBot S&D. There's good information about hijacking and fixes available here: Andrew Clover's parasite page: http://www.doxdesk.com/parasite/ (Highly recommended) Robert Allen's parasite page: http://allentech.net/parasite/index.phtml (Highly recommended) http://www.spywareinfo.com/hijacked.html http://gmpservicesinc.com/Articles/hijack.asp (links here for .reg files to lock and unlock your homepage, BTW. You can also use this program to toggle locking/unlocking of your homepage: http://www.dougknox.com/security/scripts/nosethomepage.vbs Recommended) http://www.mvps.org/inetexplorer/answers.htm#home_page Also, there's a new class of hijacker using Window's Messenger Service (not Instant Messaging, BTW). See: Messenger Service Window That Contains an Internet Advertisement Appears http://support.microsoft.com/?id=330904 which identifies reasons to keep this service and steps to take if you do. You can test your system and follow the 'Prevention' link to get additional information here: http://www.mynetwatchman.com/winpopuptester.asp. These are due to open NetBios ports 135, 137-139 and 445. You really need to block these with a firewall as a general protection measure. You can stop the popups by turning off Messenger Service; however, this still leaves you vulnerable. Messenger Service is not per se Spyware or something that MS did wrong - It provides a messaging capability which is useful for local intranets and is also sometimes (albeit nowdays infrequently) used by some applications to provide popup messaages to users. However, it can also be (and now frequently is) used to introduce spam via this open NetBios channel. For a single user home computer, it normally isn't needed and can be turned off which will eliminate the spam popups. This DOESN'T, however, remove the vulnerability of having these ports open, when in fact they aren't needed, since they can be perverted in other ways as well, some of which can be much more damaging than just a spam popup. Unless you have very good reasons to keep this active, it should be turned off in Win2k and XP. Go here and do what it says: http://www.itc.virginia.edu/desktop/docs/messagepopup/ or, even better, get MessageSubtract, free, here, which will give you flexible control of the service and viewing of these messages: http://www.intermute.com/messagesubtract/help.html Recommended. (FWIW, ZoneAlarm's default Internet Zone firewall configuration blocks the necessary ports to prevent this use of Messenger Service. I don't know the situation with regard to other firewalls.) Once you get this cleaned up, you might want to consider installing the Browser Hijack Blaster, SpywareBlaster and SpywareGuard here to help prevent this kind of thing from happening in the future: http://www.wilderssecurity.com/bhblaster.html (Prevents malware BHO's) http://www.wilderssecurity.com/spywareblaster.html (Prevents malware Active X installs) (BTW, SpyWare Blaster is not memory resident ... no CPU or memory load - but keep it updated) The latest version as of this writing will prevent installation or prevent the malware from running if it is already installed, and it provides information and fixit-links for a variety of parasites. http://www.wilderssecurity.net/spywareguard.html (Monitors for attempts to install malware) All three Very Highly Recommended. ##################################################### gruß Striper Zitieren
Brei Geschrieben 14. September 2003 Autor Geschrieben 14. September 2003 Aha, aber so richtig viel kann ich mit dem Text nicht anfangen Zitieren
AVEN Geschrieben 14. September 2003 Geschrieben 14. September 2003 Ich hab den Threadtitel mal angepasst. @Striper Was willst du und mit deinem Post eigentlich sagen? Das bre Adaware benutzen soll, oder versteh ich deinen Post falsch? PS: ein Link oder ein Auszug der Newsgroup hätte es anstatt dieses ellenlangen Quotings auch getan:mod: Zitieren
Alrik Fassbauer Geschrieben 14. September 2003 Geschrieben 14. September 2003 Um es ganz kurz zu sagen : Es gibt beispielsweise die Möglichkeit, Start-Webseiten im Internet-Explorer einzutragen, oder eine "benutzerdefinierte" Suchseite. Oder etwas ähnliches. Ich vermute, das will dieser News-group-Auszg sagen, daß eine Webseite über Scripting das getan hat. Das ist natürlich nur eine *sehr grobe* und subjektive Zusammenfassung. Zitieren
DX-Rated Geschrieben 15. September 2003 Geschrieben 15. September 2003 Alles schön und gut, aber selbst mit SpyBot Search and Destroy hab ich das nicht weggekriegt Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.