# Kann Dialer nicht entfernen



## MeeresGeist (11 Juli 2004)

Hallo alles zusammen,

bei mir versucht sich ständig ein Dialer einzuwählen, wenn ich online bin ich werde so nach 2minuten rausgeworfen dann versucht dieser seine Verbindung aufzubauen.
Ich hab schon mit etlichen Tools versucht ihn zu entfernen wie Search and Destroy,  Adaware oder spysweeper diese Programme sagen mir alle das er entfernt ist aber beim nächsten Neustart wieder das 
gleiche Spiel 2minuten online dann rauswurf  und Dialer einwahlversuch.
Ich kann ihn sogar entfernen und Deinstallieren unter Software er meldet dann ja bin Deinstalliert. 
Nur beim nächsten Neustart ist ihm das wieder wurscht und er will sich wieder einwählen.
Wie bekomme ich den runter?

Search an Destroy findet  nach jeden neustart immer wieder folgende Dateien
1. DSO Exploit  5 entries
2. Comload       1entries
3. Dialler           2 entries

Benutze Win XP SP1
Im Autostart in der Startleiste sind mein MSI Corcenter und inertviedeo Wincinema Manager

Ich wollte einen Screenshot Hochladen aber glaub das geht hier nicht.

PS: da ich DSL hab kann er eigentlich nicht funktionieren oder? 
Denn soviel ich weis funktionieren die nur mit Modem oder ISDN


----------



## Dino (11 Juli 2004)

Einmal abgesehen von Deinem eigentlichen Problem:


			
				MeeresGeist schrieb:
			
		

> ...Ich wollte einen Screenshot Hochladen aber glaub das geht hier nicht...



Doch, das geht sogar seht gut! Entweder als Attachment oder aber, wenn Du selbst Webspace zur Verfügung hast, durch das img-Tag.  Bei letzterer Möglichkeit aber bitte darauf achten, dass die Breite des Bildes nicht die Foren-Grenzen sprengt. Und in Bezug auf die Datei-Größe solltest Du ein wenig an die Modem-/ISDN-User denken. 



			
				MeeresGeist schrieb:
			
		

> ...PS: da ich DSL hab kann er eigentlich nicht funktionieren oder?
> Denn soviel ich weis funktionieren die nur mit Modem oder ISDN...


Immer wieder gern gestellte Frage in diesem Forum. Wenn Du nur mal ein kleines Bisschen im Forum suchst, wirst Du feststellen, dass das schon etliche Male erörtert wurde. Auch trotz der immer wieder auftauchenden DSL/Dialer-UFOs: DSL ist safe!!!!

ABER:

Das gilt ausschließlich für "DSL pur"! Achte darauf, dass nicht noch irgendein verträumtes Modem aus der Prä-DSL-Aera vorhanden und angeschlossen ist. Und sei es, dass man es ganz bewusst drangelassen hat, weil man hin und wieder mal ein Fax an die Erbtante schicken muss...
Beachte auch, dass es spezielle Varianten von DSL-Hardware gibt, der - quasi als Komfort-/Luxus-Feature - ein ISDN-Modem innewohnt. RTFM*)
Zudem: Bei purem DSL ist zwar keine Einwahl möglich, sehr wohl aber die Installation eines Dialers. (a) kann dieser recht störend im System sein und (b) besteht z.B. die Möglichkeit einer Einwahl, wenn man den Rechner (vielleicht gar ein Notebook!) mal mit zu einem Kumpel nimmt und dort eben mal via Modem ins Netz geht...

*) RTFM=Read the fucking manual


----------



## MeeresGeist (11 Juli 2004)

Habe mein DSL am onbord Realtek giagbit lan.

sorry das ich mache fragen hätte nachlesen können.
Aber hab so meine probleme mit den suchfuntionen
und finden von informationen, ja ich weis es ist net schwer aber trotzdem erst mal finden  :holy: 
Es ist nur das problem das viele antispy programme und virenscanner  mein dialer erkennen
aber anscheinend nicht richtig entfernen und bei jedem neustart der dialer dann doch wieder zuschlägt.

Danke für den tipp mit Attachment @DIno

gruss vom geist


----------



## Fidul (11 Juli 2004)

Sieht nach einem Coulomb-Dialer aus, wenn man diesem Registry-Eintrag trauen darf. Hast du die Scans und Removal-Versuche im abgesicherten Modus gemacht?


----------



## Devilfrank (12 Juli 2004)

Guckst Du hier:
http://forum.computerbetrug.de/viewtopic.php?p=65705#65705


----------



## MeeresGeist (12 Juli 2004)

nein im abgesicherten modus hab ich noch net probiert werd ich gleich mal probiern.

nachtrag:
trotz scans im abgesicherten modus nicht weg, 
alle 30min findet antivir die MSMGRAF.EXE, aber bei symatec wird das entfernen nicht beschrieben die sagen nur mach ein live update von deinem norton und scanne alle files.
toll davon hab ich nix weil das manuell entfernen nicht beschrieben wird und ich den norton nicht hab.
Und wenn ich ihn mir kaufen würde ist nicht gesagt das er wie andren antivir und spyware progamme die ich schon durch hab auch versagt.
Und mir wie  alle andren prgramme die ich schon durch habe auch meldet hab ihn gelöscht und dann kommt er doch wieder.


----------



## Reinhard (12 Juli 2004)

Hallo Meeresgeist,

such mal mit Goggle "Startup-Spy XP 2003" (3.22a) und lad's dir runter.
Es zeigt dir alle Autostart-Möglichkeiten deines Rechners an.
Vielleicht kommst du dem Übeltäter(n) ja so auf die Spur.
Ich wünsch' dir viel  Erfolg.

Gruss
Reinhard


----------



## Devilfrank (13 Juli 2004)

Versuch mal folgendes:
1. Deaktiviere die Systemwiederherstellung
2. Scan im abgesicherten Modus und löschen aller infizierten Files
3. Löschen des Inhalts von "TemporaryInternetFiles" und aller "Temp"-Ordner.
4. Start des Registry-Editors (Start/Ausführen/"REGEDIT" eingeben)
Hier ist nach den Schlüsselwörtern MSMGRAF und "Coulomb" zu suchen und diese zu löschen.
5. Dateisuche starten und die Datei "hosts" finden. Mit Notepad öffnen und alle Einträge entfernen bis auf "127.0.0.1  localhost"
6. Reboot des Rechners
7. Reaktivierung der Systemwiederherstellung
Sollte damit das Problem nicht geschafft sein lad Dir HijackThis runter und poste hier ein LogFile von dem Scan mit diesem Tool.


----------



## Anonymous (13 Juli 2004)

@reinhard das tool is net schlecht gefällt mir aber sind leider keine verdächtigen starteinträge zu finden.

@Devilfrank
hab alles mal gemacht wie du beschrieben mit der registry suchfunktion
hab ich die MSMSGRAF.EXE gefunden und gelöscht.
hatte auch die systemwiederherstellung absgeschaltet wie beschrieben
Temp ordner hab ich auch gelöscht.
aber kurz nach restart hatte ihn antvir wieder am wickel mit der meldung

antvirmeldung
C:\DOKUME~1\M-GEIST\LOKALE~1\TEMP\MSMSGRAF2.EXE
Enthält Signatur eines kostenverursachenden Einwahlprogrammes Dial/300796 (Dialer)

hier nochmal mit hijack

Logfile of HijackThis v1.98.0
Scan saved at 22:33:29, on 13.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\navchk.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
D:\xxx\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pcgames.de/?menu=0001
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NAVCheck] C:\WINDOWS\navchk.exe /i
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {13112111-1224-1141-1451-111111113533} - file://c:\windows\system32\setup1.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B0DE6D5-DF26-4060-A873-C095D97EDA58}: NameServer = 217.237.150.33 194.25.2.129


----------



## Devilfrank (14 Juli 2004)

Folgende Einträge im abgesicherten Modus mit HJT fixen:
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - (no file) 
O4 - HKLM\..\Run: [NAVCheck] C:\WINDOWS\navchk.exe /i
O16 - DPF: {13112111-1224-1141-1451-111111113533} - file://c:\windows\system32\setup1.exe 
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab 
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab 

Den Inhalt von TEMP auch wieder löschen. Die oben genannte Prozedur der Registry nochmal.

Danach Reboot und dann schaun wir mal weiter.


----------



## MeeresGeist (14 Juli 2004)

Hab alles nochmal gemacht wie du beschrieben  hast, es hat alles geklapt außer
O4 - HKLM\..\Run: [NAVCheck] C:\WINDOWS\navchk.exe /i 
die hab ich nicht mehr gefunden.

PS: ich hab mir ne firewall von webroot draufgemacht zumindest bis mein
      Panda Platinum Internet Security kommt den ich mir bestellt hab.
      auf jedenfall hab ich eine Abfrage von der Firewall bekommen über 
      einer ssvr.exe als ich die durchgelassen hab mein ich hatte ich sofort
      wieder die Meldung von antivir.

:\DOKUME~1\M-GEIST\LOKALE~1\TEMP\MSMSGRAF2.EXE
Enthält Signatur eines kostenverursachenden Einwahlprogrammes Dial/300796 (Dialer)

ich kann mich auch irren und es war zufall. Kennt jemand diese "ssvr.exe" für was is die gut?

mfg MeeresGeist


----------



## Devilfrank (15 Juli 2004)

It´s tricky...
Die Datei ist nicht wirklich bekannt. Offenbar hast Du den Kobold immer noch auf dem Rechner, der seinen Dateinamen zufällig ändert. Damit wird es schwierig, den Verursacher zu finden.
Jetzt kannst Du nur über Google nach Trojanerjägern suchen und mit diesen Programmen auf Spurensuche gehen.
Im jetzigen Zustand wird jedenfalls der Dialer sofort aus dem Netz nachgeladen, wenn Du online gehst.


----------



## Smigel (15 Juli 2004)

Wenn Du dich mit Regedit etwas auskennst suche mal nach folgendem Wert in der Registry
{13112111-1224-1141-1451-111111113533}

Alle Einträge in denen dieser Wert vorkommt löschen.

Hintergrund:

Die Installation des Dialers trägt sich als BHO(Browser Helper Object) ein.
Das bedeutet das sie bei jedem Start des IE aktiv wird.

Die Datein die der Dialer benötigt stehen in der Registry mit den URLs von wo sie nachgeladen werden wenn sie Fehlen. Wenn man also die Dateien löscht werden sie beim nächsten Start des IE nachgeladen und der Dialer ist wieder da.


----------



## Devilfrank (16 Juli 2004)

Hier noch ein weitere Helfer in der Not:
http://www.definitivesolutions.com/files/bhodemon20help_german.html
http://www.definitivesolutions.com/bhodemon.htm


----------



## MeeresGeist (17 Juli 2004)

Ich sag mal Danke für die viele beteidigung an dem Thread.

aber da ich warscheinlich fast alles ausprobiert hab was es an antispysoftware so gibt und nicht Herr der lage geworden bin.
Hab ich den ultimativen Dialer Killer ausgepackt nähmlich
Format c:\  :thumb:  hehe das wohl beste antispyware und Dialer Tool 
allerzeiten  8)  ich empfehle es auch nur im notfall zu nutzen wie bei mir :machkaputt: 


gruss MeeresGeist


----------



## Anonymous (3 September 2004)

*noch erwas zum Testen*

Hallo,

wenn Du dich schon was von WEBROOT drauf hast, lade Dir dich den SpySweeper mal runter, hat 30 Tage test.

Den setzen wir auch ein - bis jetzt gute Erfahrungen.

Gruß

Olli


----------

