Trojaner eingefangen (SEXVideoPro dialer)

Tommy II. · 05.02.2007, 14:55

Hallo Leute, vor ein paar Tagen hat mein Hitman pro (genauer gesagt der Spyware doctor) mir gemeldet, dass er einen "SexvideoPro Dialer) gefunden hat, er löscht ihn aber nicht. Wenn ich in den Expert modus gehe, kann ich das Ding zwar zunächst manuell löschen (es erscheint dort die Zeile

HKCU\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\1987324.com\www

manchmal auch 2 oder 4 x, dann noch jeweils hinten mit einer# oder mehreren oder der Ziffer 4 drangehängt.

Beim googeln bin ich noch auf die Bezeichnungen Trojan win32 dialer.nv für das Teil gestossen.
Bisher läuft bei mir antivir, der Hitman pro, die Zone Alarm Firewall und ich benutze regelmäßig AVG Antispyware. Die haben alle (außer dem Hitman pro) nichts gefunden. Hab mir dann in den letzten Tagen noch a- squired security center von emsi, das Microsoft Tool zum Entfernen bösartiger Software, Stinger, Sophos, den Autostart Manager, Trojan check und regcleaner geladen, die finden (nacheinander gestartet) auch nichts. Ich bin mittlerweile ziemlich am Verzweifeln, ob ich das Teil jemals wieder wegbekomme.
(OK, ich weiß, System neu aufspielen, aber vielleicht bekomme ich ja hier noch einen anderen guten Tip...
Ich benutze übrigens fast ausschließlich den Mozilla firefox, hab aber den Internet Explorer 7 auch drauf.
Ach ja, in der registry hab ich den Eintrag mit der 1987324 mehrfach gefunden, auch gelöscht, der kommt aber immer wieder.
Hier mal mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:24:44, on 05.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\TomTom HOME\TomTomHOME.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Free Download Manager\fdm.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\discountsurfer\_discountsurfer.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\xxxxx~1.ACE\LOKALE~1\Temp\Rar$EX11.874\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\DOKUME~1\xxxxx~1.ACE\EIGENE~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC1EC742-B039-4E53-B68A-457B6A91875B}: NameServer = 62.104.191.241 62.104.196.134
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Dokumente und Einstellungen\xxxxx.ACER-PZDV2AMELZ\Eigene Dateien\Spyware Doctor\sdhelp.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Leider kann ich damit nicht viel anfangen, dazu kenne ich mich viel zu wenig aus. Deshal auch die Bitte an potentielle Helfer, mir die Sache möglichst ganz einfach zu erklären und was ich löschen darf,, das wäre toll.
Vielen Dank schonmal...
Tommy

Joschi20 · 05.02.2007, 16:14

Hallo!

Also aus dem Logfile sehe ich mal :

R3 - URLSearchHook: (no name) - - (no file)

Das kannst du ruhig mit Higjackthis fixen.

--------------------------------------------------

Die eine Datei die du nicht wegbringst und immer wieder kommt, also hast du es schon versucht zuerst in den Abgesichten Modus zu gehen bevor du es löscht und die Systemwiederherstellung deaktiviert.

Ich kann dir auch Killbox entfehlen, damit kannst du die Datei auch löschen.

Benutze die Suche da gibts sicher was wo der Link steht wo Killbox zum downloaden ist.

lg

Tommy II. · 05.02.2007, 16:33

Hi Joschi, danke schonmal für die schnelle Antwort.
Abgesicherten Modus und vorher Systemwiderherstellung aus, das hab ich auch schon mehrfach probiert, leider ohne Erfolg.
Werde das empfohlene tool mal ausprobieren und mich wieder melden.
Tommy

Tommy II. · 05.02.2007, 16:38

Nochmal an Joschi:
was muß ich bei dem Pfad eingeben:das hier?

HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernetSettings\ZoneMap\Domains\1987324.com\www

??

Tommy II. · 05.02.2007, 18:25

Leider funktioniert das nicht. Wenn ich HKCU......die ganze Zeile eingebe, erscheint: PendingFile Rename Operations Registry Data has been removed by external Process!"

Hab nochmal den Spyware doctor laufen lassen, leider ist der Mist immer noch da.
Hat vielleicht noch jemand eine Idee? Ich weiß langsam nicht, was ich noch anstellen soll.
Tommy

P.S. Muß jetzt leider zur Nachtschicht und bin daher heute abend nicht mehr online, würde mich aber riesig freuen, wenn mir jemand helfen könnte, diesen Störenfried zu killen

Joschi20 · 05.02.2007, 19:02

Hi Tommy!

Leider kenne ich mich bei HKCU und dieses Gebiet nicht so richtig aus.
Aber kurze Beschreibung:

Windows-Registrierungsdatenbank - Wikipedia

lg

Tommy II. · 07.02.2007, 10:32

Hi Sunny, bitte melde Dich doch nochmal.
Soll ich die Datein

C:\WINDOWS\system32\process.exe und
C:\Windows\system32\drivers\etc\hosts

löschen??

Es kam wieder eine Warnung von EMSI

Ein Programm versucht die Hosts Datei zu ändern, nämlich
C:\windows\system32\drivers\etc\hosts

Tommy

**Sunny** · 07.02.2007, 10:43

Suche zuerst diese Datei -> C:\windows\system32\drivers\etc\hosts

Öffnr sie mit dem Editor, und poste den gesamten Inhalt hier in einen Beitrag!

Die andere Datei (process.exe) kannst du versuchen zu löschen, aber wichtiger ist der Inhalt der hosts.

Sunny

Tommy II. · 07.02.2007, 10:46

Bin ich froh, dass Du da bist!!!
Da ist sie:

Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

**Sunny** · 07.02.2007, 10:54

Und ich bin froh das die hosts Datei so aussieht.

Hast du es denn geschafft die process.exe zu löschen?

So langsam weiß ich nämlich auch nicht mehr weiter, zum eigentlich alle Reporte sauber aussehen, was aber nichts zu bedeuten haben muss.

Abgesehen davon kannst du keinen eScan oder einen Online-Scan machen, da es sicherlich Tage dauern würde bis wir eine Auswertung bekommen.

Welche Probleme hast du denn jetzt noch mit dem System, außer das EMSI meldet, das die hosts verändert wird?

Tommy II. · 07.02.2007, 11:01

Ok, mir fällt auch schonmal (ein kleiner) Stein vom Herzen...
Das komische ist, dass ich eigentlich kein e Probleme mit dem System hatte (nur Schiss, wenn die nächste Telefonrechnung kommt und mich seit einer Woche nicht mehr ins OnlineBanking traue).
Einmal ist während der ganzen Aktionen mein Bildschirmhinetgrund einfarbig blau geworden und das Foto, was ich als Hintergrund hatte, war weg.
Die process exe hab ich in Quarantäne geschickt, als danach gefragt wurde, EMSI läuft noch, wenns geht, werde ich sie löschen.
Die 1987324 war gestern und heute früh auch eine ganze Weile weg und der spyware doc hat auch nicht mehr gemeckert, vorhin war sie aber wieder mehrfach in der registry, hab sie wieder (wie schon 1000x) gelöscht...
Soll ich nochmal ein hijack log posten oder hast Du noch ne andere Idee?
Tommy

Trojaner eingefangen (SEXVideoPro dialer)

Log-Analyse und Auswertung: Trojaner eingefangen (SEXVideoPro dialer)