Kann einen Trojaner bzw. Dialer nicht löschen...
 

Hallo!

Habe Probleme mit einem Tojaner bzw. Dialer (ich nehme es an),die ich einfach nicht losbekomme!

Hier mal mein Hijacking:





Logfile of HijackThis v1.98.0
Scan saved at 13:04:24, on 01.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wintime.exe
C:\WINDOWS\System32\ilsomv.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\System32\NDrv.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\WebSiteViewer\123918.dlr
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Philip Kurz\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINDOWS\System32\NDrv.dll
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\msopt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\Run: [voltgkz] C:\WINDOWS\System32\ilsomv.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\System32\NDrv.exe
O4 - HKCU\..\Run: [mount.exe] C:\Programme\GiPo@FileUtilities\mount.exe /z
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O15 - Trusted Zone: *.mt-download.com
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1113.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E55257-95B7-48AB-959D-C1D897E4D821}: NameServer = 217.237.149.161 194.25.2.129
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
O21 - SSODL: System - {49D03B23-9051-4965-8624-B76E2F3A48D6} - C:\WINDOWS\system32\system32.dll

Ich hoffe,ihr könnt was mit anfangen und mir sagen,was gelöscht werden kann...

Vielen Dank schoneinmal im Vorraus!

Hallo und Willkommen an Board,

alternativ zu Bitdefender probiere mal eScan aus (siehe Signatur) und poste, was gefunden wurde.
Anschließend fixe bitte die folgenden Einträge:
Folgende Dateien sind unter Umständen suspekt und sollten genauer betrachtet werden, so sie nicht von eh eScan als infiziert erkannt werden:

Danke!

Tut mir leid,weiß leider nicht genau,was Du meinst!
Bin halt doch eher ein noob...

Hab dein Programm durchlaufen lassen,bloß das Protokoll ist zu lang,um es hierrein zu stellen.

Oder meinst Du gerade dieses Protokoll?!

Wenn ja,was genau soll ich "fixen"???

Bin nochmal auf deine Hilfe angwiesen...

Kurze Zwischenfrage: wie gehst du ins Internet? DSL? Analog? ISDN? Bei den letzten beiden bitte den Dialer sicher, nicht sofort löschen!

Nein,bin über DSL im Internet.

Aber wäre trotzdem sehr nett,wenn mir wer weiterhelfen kann...

Ja, dieses Scanprotokoll von eScan ist wichtig!

Hallo.

Ich hatte zufällig heute das gleiche Problem, nämlich die Datei scvhost.exe im Systemordner, wie es bei dir auch der Fall zu sein scheint. Dazu sagt DIESER Artikel folgendes:

Troj/Dasmin-E ist ein Backdoor-Trojaner, der die Start- und Suchseite im Internet Explorer ändern kann.

Wenn er ausgeführt wird, kopiert sich Troj/Dasmin-E mit den Dateinamen REGCPM32.EXE und WINUPD.EXE, SCVHOST.EXE oder IEXPRES.EXE in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, die den Pfad zu REGCPM32.EXE enthalten:



Mein Virenscanner, sowie Adaware und Spybot versagten kläglich. :-)
Erst eScan hat dem Ganzen den Garaus gemacht, jetzt läuft alles wieder einwandfrei.
Also ich würde empfehlen eScan runterzuladen, und im abgesicherten Modus drüberlaufen zu lassen. Hat auch gleich die Autostarteinträge gekillt, die von diesem Trojaner angelegt wurden.

Übrigens: abgesicherter Modus = Neustarten, während des Hochfahrens F8 gedrückt halten (so ist es jedenfalls bei mir, bin kein großer Fachmann) und dann beim erscheinenden Auswahlbildschirm "Abgesicherter Modus" wählen.

mfg

@Markus,
Vollkommen Richtig! Danke für den Hinweis! :daumenhoc

@ sozialesAbseits
Fixen bedeutet:
Du markierst in HijackThis die von mir genannten Einträge mit einem Klick in das Kästchen am Anfang der jeweiligen Zeile und klickst anschließend auf 'Fix checked'.
Bezügl. des Logs von eScan, kannst Du mal versuchen, dieses als Datei anzuhängen. Diese Einstellungen findest Du unterhalb des Texteingabefeldes unter Zusätzliche Einstellungen -> Anhänge verwalten.

Komisch,die Anhänge werden einfach nicht hochgeladen.

Hab jetzt mal die Tips von Lutz befolgt, werde gleich mal kirago seine Tips ausprobieren!

hmm,

habe mal Probeweise im "abgesichertem Modus" mein Windows XP laufen lassen und siehe da,die Dateien ließen sich löschen! :)

So,aber nach einiger Zeit ist nun alles wieder aufgetaucht.

Drum gehe ich davon aus,daß ich auch eine dll-Datei habe,welche alles wider reinstalliert... :pfui:

So,was kann ich nun machen,finde diese besagte dll-Datei aber nicht...

Hast Du eScan auch im abgesicherten Modus ausgeführt? Wenn nein, hole dies bitte nach. Vorher Update nicht vergessen!
Anschließend poste bitte mal ein neues Log von HijackThis, damit wir sehen können, was jetzt noch 'Los' ist...

Hallo!

Habe die Anweisungen von Lutz befolgt und folgendes kam herraus:

Es wurden folgende Trojaner gefunden:

Dialer.ce
Small.li
Harnig.p
Dialer.bi
StartPage.ig
WinShow.m
Dedler.c
PurityScan.b
BiSpy.f
Agent.ap
Pinom.c
StartPage.ee
Small.kq
Dialer.u
StartPage.ig
Small.hs
Dedler.c
Agent.ae
Harnig.p
StartPage.ig

So bei Hijacking habe ich folgendes Log:

Logfile of HijackThis v1.98.0
Scan saved at 16:02:01, on 03.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wintime.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\NDrv.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Philip Kurz\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\System32\NDrv.exe
O4 - HKCU\..\Run: [mount.exe] C:\Programme\GiPo@FileUtilities\mount.exe /z
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - DefaultPrefix: http://195.225.176.14/pre.pl?
O13 - WWW Prefix: http://195.225.176.14/pre.pl?
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E55257-95B7-48AB-959D-C1D897E4D821}: NameServer = 217.237.149.161 194.25.2.129
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
O21 - SSODL: System - {49D03B23-9051-4965-8624-B76E2F3A48D6} - C:\WINDOWS\system32\system32.dll (file missing)

Grüsse
Thomas (sozialesAbseits)

Hallo Thomas,

ich habe jetzt nicht die einzelnen Auswirkungen der div. Trojaner, Dialer, ... im Kopf, aber Du solltest eine komplette Neuinstallation des Rechners ins Auge fassen.
Wenn Du nicht ausschließlich über DSL ins Web gehst solltest Du -sofern noch vorhanden- die Dialer für eine evtl. Beweissicherung bei entstehenden Einwahlkosten sichern (bspw. auf Diskette, CD-R, ...)

Wenn Du nicht neu installieren willst, solltest Du bezüglich des Hijackers folgende Einträge 'fix'en (In HijackThis markieren und anschließend Fix cheked anklicken).

Die hier angegebenen Dateien solltest Du noch einmal manuell suchen und -sofern noch vorhanden- löschen.

Anschließend der 'obligatorische Rat':
Schau Dich nach einer Browser-Alternative zum InternetExplorer um. Näheres hierzu und zum Thema Hijacking allgemein findest Du in meiner Signatur ;)

Zunächst bitte die monitor.exe bei Kaspersky checken. Wenn böse bitte im abgesicherten Modus löschen und folgenden Eintrag fixen:

Dazu auch mal diesen Thread lesen. Ist zwar nicht genau der Eintrag bei Dir tausch aber ebenfalls diese IP auf

Wenn mich nicht alles täuscht ist das auch ein Trojaner:

C:\WINDOWS\msopt.dll

Bitte bei Kaspersky checken und gegebenfalls löschen (im abgesicherten Modus) und dann entsprechend den Eintrag fixen

Auf jeden Fall fixen:
/Edit: Irgendwie war Lutz schneller obwohl ich ihn gar nicht online gesehen habe:crazy:

Irgendwie bin ich zur Zeit versteckt, da ich PM's am laufenden Band bekomme, wenn ich in der 'Wer ist online'-Anzeige zu sehen bin... ;)