Qhost.apd immer wieder da nach entfernen...hilfe

#1 also habe mir das programm stinger runtergeladen und damit scheck ich jetzt nach jedem neustart die festplatte und er findet immer wieder in der selben datei den trojianer immer wieder.obwohl da steht das er repariert wurde...
hier ein auszug :
C:\WINDOWS\system32\drivers\etc\hosts

C:\WINDOWS\system32\drivers\etc\hosts

Found the Qhosts.apd trojan !!!

C:\WINDOWS\system32\drivers\etc\hosts has been repaired.
hoffe mir kann jemand helfen....
mfg
danke schonmal für ein paar antworten

#2 Öffne die Datei mal mittels des Editors und poste ihren Inhalt.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 # Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost



also das is nach dem entfernen weiß net ob die dann inhaltlich anders is.
aber beim nächsten neustart mach ich das mal mit dem trojianer ... also wenn er noch drin is....
oder kannst du damit schon was anfangen?

#4 hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit.

Dann lade den e-scann (mwav.exe), scanne alle Dateien im abgesicherten Modus und poste das Scannlog (infizierter Teil.)
http://www.mwti.net/antivirus/free_utilities.asp

Dann lade den HijackThis, scann<save< und kopiere das Savelog ins Forum.
http://www.spychecker.com/download/download_hijackthis.html

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 seitdem ich mir die datei angeguckt habe sagt mir norten immer was von
w32 hllw gaobot.gen virus aber er findet ihn nur in einer datei dmrss.exe und kann sie aber niocht reparieren. was nun? das tool von symantec findet nix und sagt das es zu viele variationen gibt...
einer ne idee?

#6 Poste mal ein Hijackthis Log.
MFG
DAFRA

#7

Zitat

Sabina postete
hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit.

Dann lade den e-scann (mwav.exe), scanne alle Dateien im abgesicherten Modus und poste das Scannlog (infizierter Teil.)
http://www.mwti.net/antivirus/free_utilities.asp

Dann lade den HijackThis, scann<save< und kopiere das Savelog ins Forum.
http://www.spychecker.com/download/download_hijackthis.html

MfG
Sabina

Ghost_G4
es scheint, wir schreiben einem Geist...
Wenn du nicht machst, was wir vorschlagen, koennen wir auch die Fragen nicht beantworten.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#8 von escan
11:29:20 2004 => ***** Scanning Registry Files *****
Sun May 30 11:29:20 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Sun May 30 11:29:20 2004 => Scanning File C:\WINDOWS\Explorer.exe
Sun May 30 11:29:20 2004 => Scanning File C:\WINDOWS\system32\userinit.exe
Sun May 30 11:29:20 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sun May 30 11:29:20 2004 => Scanning File C:\WINDOWS\system32\dmrss.exe
Sun May 30 11:29:21 2004 => File C:\WINDOWS\system32\dmrss.exe infected by "Backdoor.Agobot.gen" Virus. Action Taken: File Renamed.

Sun May 30 11:29:21 2004 => *** SOFTWARE\Microsoft\Windows\CurrentVersion\Run has RunningProcess defined as C:\WINDOWS\system32\dmrss.exe (which is infected)!
Sun May 30 11:29:21 2004 => *** Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DSService deleted because it is infected by a Virus
Sun May 30 11:29:21 2004 => Scanning File C:\WINDOWS\system32\nwiz.exe
Sun May 30 11:29:21 2004 => Scanning File C:\WINDOWS\system32\RUNDLL32.EXE
Sun May 30 11:29:21 2004 => Scanning File C:\PROGRA~1\ICQ\ICQNet.exe
Sun May 30 11:29:21 2004 => Scanning File C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

von hijackthis
Logfile of HijackThis v1.97.7
Scan saved at 11:41:54, on 30.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Dokumente und Einstellungen\ghostface\Eigene Dateien\Meine Musik\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7FBAD97-E205-4B62-AE4A-96910D169552}: NameServer = 217.237.149.225 194.25.2.129

also habe noch ms03-007 und ms03-026 win patch installiert seitdem kommt der qhost nicht wieder
aber laut norton ist in der datei C:\windows\system32\dmrss.exe mtw oder so ähnlich ...
hat das das eine programm vieleicht umgeschrieben weil vorher hat norton nur drmss.exe gefunden und nun heiß das n bissel anders
und norton sagt auch das es sich um w32.hllw.gaobot.gen handelt und escan sagt blackdoor.agobot.gen aber finde zu beiden nix passendes um die zu entfernen

sorry das es länger gedauert hat
hoffe könnt mir trotzdem noch helfen

#9 So wie es aussieht, hat der e-scann das Problem teilweise geloest.
Datei umbenannt und Prozess beendet)
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DSService deleted because it is infected by a Virus
C:\WINDOWS\system32\dmrss.exe infected by "Backdoor.Agobot.gen" Virus. Action Taken: File Renamed.
---------------------------------------------------------------------------------------------------------
Deaktiviere bitte die Wiederherstellung (nach der Reinigung wieder aktivieren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924


Lade diese Patch von MS
--------------------------
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.gen.html

* Create a secure password. This threat takes advantage of weak network passwords. (A full-time Internet connection, such as DSL or Cable, is considered a network connection for these purposes.)
* Patch the DCOM RPC vulnerability as described in Microsoft Security Bulletin MS03-026.
* Patch the WebDav vulnerability as described in Microsoft Security Bulletin MS03-007.
* Patch the Workstation service buffer overrun vulnerability as described in Microsoft Security Bulletin MS03-049.
* Patch the Microsoft Messenger Service Buffer Overrun Vulnerability as described in Microsoft Security Bulletin MS03-043.
* Patch the Locator service vulnerability as described in Microsoft Security Bulletin MS03-001.
* Patch the UPnP vulnerability as described in Microsoft Security Bulletin MS01-059.
* Patch the vulnerabilities in the Microsoft SQL Server 2000 or MSDE 2000 audit as described in Microsoft Security Bulletin MS02-061.


-------------------------------------------------------------------------------


#Lade hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit.

#Lade von der Site(Symantec) das Removaltool
Removal using the Removal Tool
Symantec Security Response has developed a removal tool to clean the infections of W32.HLLW.Gaobot.gen. The removal tool will remove many but not all variants that are detected as W32.HLLW.Gaobot.gen.
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.gen.html
-----------------------------------------------------------------------------------------------

#Gehe in den abgesicherten Modus (F8 beim Hochfahren druecken)
und scanne noch einmal mit mit Norton und dem RemovalTool


normal neustarten

Poste dann, ob noch etwas angezeigt wurde,
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#10 also habe alles das gemacht was du geschrieben hast
und nur noch norton findet etwas die anderen wie escan oder so finden nix.
norton:
The file C:\WINDOWS\system32\dmrss.exe.mwt is infected with the W32.HLLW.Gaobot.gen virus.
das removetool hat auch nix gefunden aber der virus lässt sich bisher nicht reparieren/fixen oder entfernen...
gibs da noch eine andere lösung?
schätz mal escan hat nix gefunden weil es die datei ja selber umgeschrieben hat.