Wie kann ich Qhosts.apd entfernen? |
||
---|---|---|
#0
| ||
04.07.2004, 13:59
...neu hier
Beiträge: 2 |
||
|
||
04.07.2004, 16:42
Ehrenmitglied
Beiträge: 29434 |
#2
@Haraldo
#Gehe zu WINDOWS\system32\drivers\etc\hosts , oeffne mit dem Notepad und loesche alles, ausser 127.0.0.1 Lokalhosts #lade die mwav.exe escan...30 Tage free und scanne \alle Dateien\ Poste dann, was infiziert war. http://www.mwti.net/antivirus/free_utilities.asp aus dem Log kann man nichts ersehen...leider. Mache Onlinescanns...es scheint eine neue Wurmvariante zu sein.... hoffentlich erkennt es schon ein Virenscanner http://www.bitdefender.com/scan/license.php http://uk.trendmicro-europe.com/enterprise/products/housecall_launch.php MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.07.2004 um 16:56 Uhr von Sabina editiert.
|
|
|
||
05.07.2004, 10:47
...neu hier
Themenstarter Beiträge: 2 |
#3
Zitat Sabina posteteHallo Sabina! Danke für die Tipps! Die Virenscanner konnten jedoch alle nichts finden. Bin allerdings auf anderem Weg weiter gekommen: Ich hatte über meine Firewall festgestellt, dass die Anwendung WINDOWS\system32\csmss.exe versucht eine Verbindung nach außen herzustellen. Da die Datei erst vor wenigen Tagen erstellt worden ist und mein anderes Windowssystem diese nicht hat, habe ich sie erst einmal isoliert. Habe daraufhin etwas recherchiert und eine Information gefunden, dass der BKDR_RICCAIRA.A (der anscheinend so ähnlich funktioniert wie der 'Qhosts.apd') diese Dateibezeichnung verwendet (siehe http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_RICCAIRA.A). Anschließend habe ich meine Registry durchsucht und an einer Stelle einen entsprechenden Eintrag gefunden, den ich dann gelöscht habe. Bin mir nicht ganz sicher, ob ich das Teil damit erledigt habe, aber momentan scheint wieder alles rund zu laufen... Gruß, Harald |
|
|
Seit einigen Tagen bekomme ich vom McAfee-Virenscanner beim Starten meines Rechners die Warnung das die Datei WINDOWS\system32\drivers\etc\hosts mit 'qhosts.apd' infiziert ist. Unmittelbar danach versucht der Rechner selbstständig eine Verbindung mit dem Internet herzustellen. Ich kann die infizierte Datei zwar löschen, beim nächsten Start tritt das gleiche Problem jedoch wieder auf.
Nachdem mein McAfeeVirenscanner neben dieser Datei nichts finden kann, habe ich versucht mit dem Symantec 'Trojan.Qhosts Removal Tool' und dem McAfee Stinger meinen Rechner zu reinigen. Leider konnten auch diese Tools nichts Auffälliges finden.
Die Beiträge die bereits zu diesem Thema hier gepostet wurden (z.B. http://board.protecus.de/t9982.htm) konnten mir leider auch nicht richtig weiterhelfen, da die dort genannten zu löschenden Dateien bei mir nicht existieren.
Hier die Logfile von HijackThis:
Logfile of HijackThis v1.98.0
Scan saved at 12:57:33, on 04.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programme\Universitaet Duisburg\eCampus VPN Client\cvpnd.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TOSHIBA\TME3\Tmesbs32.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE
C:\Programme\TOSHIBA\TME3\TMEEJME.EXE
C:\Programme\TOSHIBA\TME3\TMESBS32.EXE
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\Programme\Deutsche Telekom\SurfUSB\DiTask.exe
C:\Programme\Deutsche Telekom\SurfUSB\Divamon.exe
C:\WINDOWS\System32\csmss.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\NETSWI~1\NETSWT~1.EXE
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Dokumente und Einstellungen\hb\Desktop\HijackThis.exe
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TMEEJME.EXE] C:\Programme\TOSHIBA\TME3\TMEEJME.EXE
O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [DiTask.exe] "C:\Programme\Deutsche Telekom\SurfUSB\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Programme\Deutsche Telekom\SurfUSB\Divamon.exe"
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] C:\Programme\Deutsche Telekom\SurfUSB\watch.exe
O4 - HKLM\..\Run: [CGServer] "C:\Programme\Deutsche Telekom\SurfUSB\cgserver.exe"
O4 - HKLM\..\Run: [VC5MediaPlayer] C:\WINDOWS\System32\csmss.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [NetSwitcher Tray Application] C:\PROGRA~1\NETSWI~1\NETSWT~1.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/14ccfc86745401bf5216/netzip/RdxIE601_de.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.3) - http://www.railcargo.at/javaplugin/j2re1_3_0-win-i.exe
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
Kann jemand in diesem Lofile etwas ungewöhnliches erkennen und/oder mir vielleicht irgendeinen Tipp geben wie ich das Ding wieder losbekommen könnte!?!
Wäre um jeden Beitrag sehr dankbar!!!
Gruß,
Harald