Qhost.apd immer wieder da nach entfernen...hilfe |
||
---|---|---|
#0
| ||
28.05.2004, 15:52
...neu hier
Beiträge: 5 |
||
|
||
28.05.2004, 15:58
Moderator
Beiträge: 6466 |
||
|
||
28.05.2004, 16:09
...neu hier
Themenstarter Beiträge: 5 |
#3
# Copyright (c) 1993-1999 Microsoft Corp.
# # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost also das is nach dem entfernen weiß net ob die dann inhaltlich anders is. aber beim nächsten neustart mach ich das mal mit dem trojianer ... also wenn er noch drin is.... oder kannst du damit schon was anfangen? |
|
|
||
28.05.2004, 16:34
Ehrenmitglied
Beiträge: 29434 |
#4
hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit.
Dann lade den e-scann (mwav.exe), scanne alle Dateien im abgesicherten Modus und poste das Scannlog (infizierter Teil.) http://www.mwti.net/antivirus/free_utilities.asp Dann lade den HijackThis, scann<save< und kopiere das Savelog ins Forum. http://www.spychecker.com/download/download_hijackthis.html MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.05.2004, 20:42
...neu hier
Themenstarter Beiträge: 5 |
#5
seitdem ich mir die datei angeguckt habe sagt mir norten immer was von
w32 hllw gaobot.gen virus aber er findet ihn nur in einer datei dmrss.exe und kann sie aber niocht reparieren. was nun? das tool von symantec findet nix und sagt das es zu viele variationen gibt... einer ne idee? |
|
|
||
28.05.2004, 21:16
Member
Beiträge: 1122 |
||
|
||
29.05.2004, 00:30
Ehrenmitglied
Beiträge: 29434 |
#7
Zitat Sabina posteteGhost_G4 es scheint, wir schreiben einem Geist... Wenn du nicht machst, was wir vorschlagen, koennen wir auch die Fragen nicht beantworten. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.05.2004 um 00:31 Uhr von Sabina editiert.
|
|
|
||
30.05.2004, 11:42
...neu hier
Themenstarter Beiträge: 5 |
#8
von escan
11:29:20 2004 => ***** Scanning Registry Files ***** Sun May 30 11:29:20 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Sun May 30 11:29:20 2004 => Scanning File C:\WINDOWS\Explorer.exe Sun May 30 11:29:20 2004 => Scanning File C:\WINDOWS\system32\userinit.exe Sun May 30 11:29:20 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Sun May 30 11:29:20 2004 => Scanning File C:\WINDOWS\system32\dmrss.exe Sun May 30 11:29:21 2004 => File C:\WINDOWS\system32\dmrss.exe infected by "Backdoor.Agobot.gen" Virus. Action Taken: File Renamed. Sun May 30 11:29:21 2004 => *** SOFTWARE\Microsoft\Windows\CurrentVersion\Run has RunningProcess defined as C:\WINDOWS\system32\dmrss.exe (which is infected)! Sun May 30 11:29:21 2004 => *** Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DSService deleted because it is infected by a Virus Sun May 30 11:29:21 2004 => Scanning File C:\WINDOWS\system32\nwiz.exe Sun May 30 11:29:21 2004 => Scanning File C:\WINDOWS\system32\RUNDLL32.EXE Sun May 30 11:29:21 2004 => Scanning File C:\PROGRA~1\ICQ\ICQNet.exe Sun May 30 11:29:21 2004 => Scanning File C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE von hijackthis Logfile of HijackThis v1.97.7 Scan saved at 11:41:54, on 30.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Dokumente und Einstellungen\ghostface\Eigene Dateien\Meine Musik\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{A7FBAD97-E205-4B62-AE4A-96910D169552}: NameServer = 217.237.149.225 194.25.2.129 also habe noch ms03-007 und ms03-026 win patch installiert seitdem kommt der qhost nicht wieder aber laut norton ist in der datei C:\windows\system32\dmrss.exe mtw oder so ähnlich ... hat das das eine programm vieleicht umgeschrieben weil vorher hat norton nur drmss.exe gefunden und nun heiß das n bissel anders und norton sagt auch das es sich um w32.hllw.gaobot.gen handelt und escan sagt blackdoor.agobot.gen aber finde zu beiden nix passendes um die zu entfernen sorry das es länger gedauert hat hoffe könnt mir trotzdem noch helfen Dieser Beitrag wurde am 30.05.2004 um 12:00 Uhr von ghost_G4 editiert.
|
|
|
||
30.05.2004, 13:26
Ehrenmitglied
Beiträge: 29434 |
#9
So wie es aussieht, hat der e-scann das Problem teilweise geloest.
Datei umbenannt und Prozess beendet) SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DSService deleted because it is infected by a Virus C:\WINDOWS\system32\dmrss.exe infected by "Backdoor.Agobot.gen" Virus. Action Taken: File Renamed. --------------------------------------------------------------------------------------------------------- Deaktiviere bitte die Wiederherstellung (nach der Reinigung wieder aktivieren) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Lade diese Patch von MS -------------------------- http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.gen.html * Create a secure password. This threat takes advantage of weak network passwords. (A full-time Internet connection, such as DSL or Cable, is considered a network connection for these purposes.) * Patch the DCOM RPC vulnerability as described in Microsoft Security Bulletin MS03-026. * Patch the WebDav vulnerability as described in Microsoft Security Bulletin MS03-007. * Patch the Workstation service buffer overrun vulnerability as described in Microsoft Security Bulletin MS03-049. * Patch the Microsoft Messenger Service Buffer Overrun Vulnerability as described in Microsoft Security Bulletin MS03-043. * Patch the Locator service vulnerability as described in Microsoft Security Bulletin MS03-001. * Patch the UPnP vulnerability as described in Microsoft Security Bulletin MS01-059. * Patch the vulnerabilities in the Microsoft SQL Server 2000 or MSDE 2000 audit as described in Microsoft Security Bulletin MS02-061. ------------------------------------------------------------------------------- #Lade hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit. #Lade von der Site(Symantec) das Removaltool Removal using the Removal Tool Symantec Security Response has developed a removal tool to clean the infections of W32.HLLW.Gaobot.gen. The removal tool will remove many but not all variants that are detected as W32.HLLW.Gaobot.gen. http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.gen.html ----------------------------------------------------------------------------------------------- #Gehe in den abgesicherten Modus (F8 beim Hochfahren druecken) und scanne noch einmal mit mit Norton und dem RemovalTool normal neustarten Poste dann, ob noch etwas angezeigt wurde, MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.05.2004 um 13:41 Uhr von Sabina editiert.
|
|
|
||
30.05.2004, 14:22
...neu hier
Themenstarter Beiträge: 5 |
#10
also habe alles das gemacht was du geschrieben hast
und nur noch norton findet etwas die anderen wie escan oder so finden nix. norton: The file C:\WINDOWS\system32\dmrss.exe.mwt is infected with the W32.HLLW.Gaobot.gen virus. das removetool hat auch nix gefunden aber der virus lässt sich bisher nicht reparieren/fixen oder entfernen... gibs da noch eine andere lösung? schätz mal escan hat nix gefunden weil es die datei ja selber umgeschrieben hat. Dieser Beitrag wurde am 31.05.2004 um 11:26 Uhr von ghost_G4 editiert.
|
|
|
||
hier ein auszug :
C:\WINDOWS\system32\drivers\etc\hosts
C:\WINDOWS\system32\drivers\etc\hosts
Found the Qhosts.apd trojan !!!
C:\WINDOWS\system32\drivers\etc\hosts has been repaired.
hoffe mir kann jemand helfen....
mfg
danke schonmal für ein paar antworten