Qhosts.apd.trojan (die wievielte eigentlich schon?) |
||
---|---|---|
#0
| ||
12.10.2004, 16:37
Ehrenmitglied
Beiträge: 29434 |
||
|
||
30.10.2004, 16:54
Member
Beiträge: 11 |
#17
Hallo,
nun hat es den Laptop vom Bekannten auch erwischt. Hatte selbst "leider" bisher noch nicht das fragwürdige Vergnügen :\ solcher Stehaufmänchen. Folgende Schritte habe ich ausgeführt: -Systemwiederherstellung deaktiviert, -System im Abgesicherten Modus gestartet, -McAfee-Virus-Scan: Trojaner Qhosts.apd gefunden und gereinigt. -Neustart -Erneute Virusmeldung, direkt nach dem das System hochgefahren ist. -Virus wird wiederholt, jedoch nur im abgesicherten Modus erkannt. Hänge hier noch ein HIJACKTHIS-Logfile an. Logfile of HijackThis v1.98.2 Scan saved at 20:44:29, on 29.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\ICO.EXE C:\Programme\Sony\HotKey Utility\HKserv.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Browser USB MOUSE\mouse32a.exe C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\WINDOWS\system32\MSOffice\services.exe C:\Programme\PowerPanel\Program\PcfMgr.exe c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\User\proover.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Program Files\Windows AdTools\WinAdTools.exe C:\Program Files\Windows AdTools\WinRatchet.exe C:\Dokumente und Einstellungen\User\amax.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\User\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\WINDOWS\system32\shdocpe.dll/asst.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B377} - C:\WINDOWS\system32\CustomIE32.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [ISP] C:\Programme\Sony\ISPselector\ISPselector.exe /SCHEDULER O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser USB MOUSE\mouse32a.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\system32\MSOffice\services.exe O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\McAfee.com\Shared\mcappins.exe /v=3 /cleanup O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: PowerPanel.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=30579607f432361f4c24553de3a9fe7e27f55e8c7382e8f8124885381 78c09374cd3d1696277ab341d588a056fa84851d5e1f9fecd5da6e7490e:d3e35fce064ccfbb2d7510b28ebf1261 Wäre für hilfreiche Unterstützung sehr dankbar. Gruß Mischa Dieser Beitrag wurde am 30.10.2004 um 19:16 Uhr von Sabina editiert.
|
|
|
||
30.10.2004, 19:14
Ehrenmitglied
Beiträge: 29434 |
#18
Hallo@l-ax
oeffne das HijackThis <scan <anhaken< fix< PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\WINDOWS\system32\shdocpe.dll/asst.html O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B377} - C:\WINDOWS\system32\CustomIE32.dll O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=30579607f432361f4c24553de3a9fe7e27f55e8c73 82e8f812488538178c09374cd3d1696 neustarten Moeglichkeiten die HOST-Datei zu reinigen: Moeglichkeit 1) #die Host-Datei (mit Notepad oeffnen) in c:\Windows\System32\drivers\etc\hosts 127.0.0.1 localhost #Original Host Datei das ist der korrekte Eintrag, alles andere loeschen Moeglichkeit 2: #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Moeglichkeit 3) #oeffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < loesche alles , lasse nur stehen: 127.1.1.0 localhost #Original Host Datei _________________________________________________________________- #oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\system32\CustomIE32.dll PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Program Files\Windows AdTools\WinAdTools.exe PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Dokumente und Einstellungen\User\proover.exe PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Dokumente und Einstellungen\User\amax.exe PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Program Files\Windows AdTools\WinRatchet.exe PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\system32\winad2.dll PC neustarten #TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows. TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt. http://www.almisoft.de/traxex2.htm Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr Temporary Internet Files, O.K Temporary Files, O.K # AboutBuster www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen #CWShredder 1.59 http://www.chip.de/downloads/c_downloads_11353799.html WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. <Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen http://www.mwti.net/antivirus/free_utilities.asp * danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken. <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, bzw die Dateien im abgesicherten Modus loeschen (HijackThis dazu verwenden) Auch muss man die Eintraege in der Registrierung per Hand entfernen --««und das neue Log vom HijackThis noch mal posten. Tip: #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/index.html mfg Sabina ****** http://vil.nai.com/vil/content/v_124880.htm __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.10.2004 um 19:29 Uhr von Sabina editiert.
|
|
|
||
31.10.2004, 15:40
Member
Beiträge: 11 |
#19
Hallo
und danke SABINA. Werde mich Stück für Stück durcharbeiten. Habe den Laptop leider nicht hier. Wird also mit dem neuen HiJackThis-Log-Posting paar Tage dauern können. Melde mich aber auf alle Fälle. Ist für mich, ehrlich gesagt, schon sehr undurchsichtig, halbwegs durchzublicken, welche der -zig Sicherheits-Tools, sinnvoll oder notwendig sind, um ein einigermaßen "wasserfestes" System zu haben. Sicher muß man dazu so tief in der Materie stecken wie Du. Gruß und schönes Restwochenende. l-ax |
|
|
||
31.10.2004, 15:46
Ehrenmitglied
Beiträge: 29434 |
#20
Hallo@l-ax
Das sind keine SicherheitsTools, sondern Reinigungstools, um deinen PC wieder clean zu bekommen . mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.10.2004 um 15:46 Uhr von Sabina editiert.
|
|
|
||
31.10.2004, 16:21
Member
Beiträge: 11 |
#21
A-ja.
Wie auch immer. Habe jetzt alle Downloads getätigt und mache mich an die Arbeit. Auch wenns nicht unbedingt hier rein gehört: Wurde bisher glücklicherweise selbst noch nicht derart "infiziert", aber welche "Grundausstattung" ist empfehlenswert, um es garnicht erst so weit kommen zu lassen? Ich selbst nutze WinXP-SP2, Mozilla Firefox und McAfee V8.0. (für einen Link zu einem Thread hier im Forum wäre ich dankbar). Gruß l-ax |
|
|
||
31.10.2004, 19:10
Ehrenmitglied
Beiträge: 29434 |
#22
Hallo@l-ax
Mit #TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows. TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt. http://www.almisoft.de/traxex2.htm und allem, was du schon hast, bist du gut ausgestattet. #NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ + Entbinden des NetBios oder . www.dingens.org Kopiere ab und an dein Log vom HijackThis hier rein...wenn was undefiniertes Gelbes erscheint, mach die auf die Hacken, wenn was rotes auftaucht, sause los hier ins Forum. #HijackThis-Auswertung http://www.hijackthis.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.10.2004, 23:48
Member
Beiträge: 11 |
#23
...zu später Stunde...Hallo@Sabina
Danke für den Tipp. Für TraxEx würde ich direkt die Shareware-Gebühr löhnen, allerdings wird nur der IE, nicht aber der Firefox als Browser erkannt. Ist das korrekt? Andererseits lassen sich ja beim Firefox unter 'Datenschutz' mit der Option 'Alles löschen' ebenfalls die Spuren entfernen. Vollständig? Gruß l-ax |
|
|
||
01.11.2004, 10:26
Ehrenmitglied
Beiträge: 29434 |
#24
Hallo@l-ax
#ClaerProg (free) http://www.clearprog.de/ Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies (mit Ausschlußmöglichkeit beim IE) - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs - Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME) - Download-Listen des Netscape/Opera Weiterhin können u.a. folgende Dinge gelöscht werden: - Papierkorb - Dokumentenordner im Startmenü - Windows-Temp-Ordner - Ausführen-Einträge im Startmenü - Datei-Listen von MS Office-Programmen - Datei-Listen des Windows Media Player und des RealPlayer - eigene Ordner mit Filter (können selbst gewählt werden) - PlugIn-Funktion zum selbständigen Einfügen von Löschvorgängen mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.11.2004 um 10:26 Uhr von Sabina editiert.
|
|
|
||
02.11.2004, 21:42
Member
Beiträge: 11 |
#25
Hallo@Sabina
es ist so weit. Habe mich durchgewühlt. Folgendes Ergebnis: Moeglichkeiten die HOST-Datei zu reinigen: Moeglichkeit 1) #die Host-Datei (mit Notepad oeffnen) in c:\Windows\System32\drivers\etc\hosts 127.0.0.1 localhost #Original Host Datei das ist der korrekte Eintrag, alles andere loeschen es gibt nur eine hosts.new-Datei. Da sind einige dubiose Webadressen eingetragen, alle mit 127.0.0.1 vorangestellt. Beim Versuch die Datei entsprechend zu ändern, wird diese nach einigen Minuten wieder überschrieben. Komplett löschen? _________________________________________________________________- #oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\system32\CustomIE32.dll PC neustarten Datei nicht vorhanden HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\system32\winad2.dll PC neustarten Datei nicht vorhanden #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. ein kritisches Objekt wird erkannt, Programm hängt sich kurz darauf auf. Kein weiteres Scannen möglich <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. Ergebnis aus dem mwav.log: -File C:\WINDOWS\msmidi.exe infected by "TrojanDownloader.Win32.Agent.eq"Virus -File C:\Dokumente und Einstellungen\User\Doul.exe infected by "TrojanClicker.Win32.Agent" -File C:\WINDOWS\System32\MSOffice\Services.exe infected by "TrojanDownloader.Win32.Agent.eq"Virus <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, Welche der oben gefundenen *.exe-Dateien kann ich mit HiJackThis löschen? (Will nichts Falsches löschen). Außerdem trau ich mich ohne genaue Anleitung besser nicht an Regedit ran. Würde nach dem Löschen dann noch mal das HiJackThis-Log posten. Gruß Mischa |
|
|
||
03.11.2004, 00:48
Ehrenmitglied
Beiträge: 29434 |
#26
Hallo@l-ax
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. #Oeffne das HijackThis. HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\msmidi.exe PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Dokumente und Einstellungen\User\Doul.exe PC neustarten (oder manuell suchen und loeschen) HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\MSOffice\Services.exe PC neustarten ____________________________________________________________- Gehe in die Registry Start<Ausfuehren<regedit gib oben links in die Suchfunktion der Registry ein : msmidi.exe und poste mir alles, was du gefunden hast. Dann suche, ob du folgendes findest: C:/windows/system32/services/msmidi.exe Systemsteuerung/Verwaltung/Dienste und suche dort nach einem Dienst, der was mit der msmidi.exe zu tun hat. Scanne noch mal mit dem eScan und berichte...und poste das neue Log vom HijackThis (mit einer neuen Startseite ) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.11.2004 um 00:54 Uhr von Sabina editiert.
|
|
|
||
03.11.2004, 20:33
Member
Beiträge: 11 |
#27
Hallo und Guten Abend@Sabina,
ich bin guter Hoffnung: 1.AdAware hat sich während des Scannens nicht mehr aufgehangen. 1 kritischer Fehler (WinAd, Data Miner ide202101.vxd) gefunden und bereinigt. 2. host.new habe ich gelöscht, host mit HiJackThis neu erstellt. 3. sevices.exe, doul.exe und msxmidi.exe (sorry, hatte im letztem Posting versehentlich msmidi.exe geschieben) mit HiJackThis gelöscht. 4. in der Registrierung habe ich folgendes gefunden: zu Services.exe in: HKEY_Current_User\Software\Microsoft\Windows\ShellNoRoam\MUICache und HKEY_Users\S-1-5-21-1981001023-4024994690-2552189465-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache Wert Services HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Eventlog HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PlugPlay HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Eventlog HKEY_LOCAL_MACHINE\System\ControlSet003\Services\PlugPlay HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PlugPlay Name:ImagePath Typ: REG_EXPAND_SZ %SystemRoot%\System32\Services.exe Zu doul.exe in: HKEY_CURRENT_USER\Software\Microsoft\ShellNoRoam\MUICache HKEY_Users\S-1-5-21-1981001023-4024994690-2552189465-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache C:\Dokumente und Einstellungen\User\doul.exe zu msxmidi.exe keinen Eintrag gefunden. neues HiJackThisLog: Logfile of HijackThis v1.98.2 Scan saved at 17:51:57, on 03.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE D:\Antivirustools\HiJackThis198\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser USB MOUSE\mouse32a.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: PowerPanel.lnk = ? O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com Ich hoffe ich hab jetzt nichts vergessen. Weitere Fragen: Ist McAfee-Antivirus noch intakt, oder ist eine Neuinstallation von Nöten? Auf welchem Weg kann man sich einen solchen Trojaner einfangen haben? Gruß l-ax |
|
|
||
03.11.2004, 21:03
Ehrenmitglied
Beiträge: 29434 |
#28
Hallo@l-ax
Loesche: C:\Dokumente und Einstellungen\User\doul.exe #und auch rechts in der Registry, was du zu <doul< findest. <HKEY_CURRENT_USER\Software\Microsoft\ShellNoRoam\MUICache\doul.exe <HKEY_Users\S-1-5-21-1981001023-4024994690-2552189465-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache\doul.exe Ueberpruefe bitte folgendes: 1.Findest du C:\WINDOWS\System32\services\msxmidi.exe ?? 2.<msxmidi.exe< unter diesen Eintraegen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services unter: __NS_Service __NS_Service_2 __NS_Service_3 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root LEGACY___NS_Service LEGACY___NS_Service_2 LEGACY___NS_Service_3 und HKLM\Software\Classes\CLSID\Sicherung\{0F372AFC-3140-48E5-9FA6-D8B6E4C67767}\InProcServer32 Name: Standard Typ: REG_SZ Wert: C:\WINDOWS\system32\system32.dll Name: Threading Model Typ: REG_SZ Wert: Apartment Ansonsten scanne noch mal mit eScan und berichte. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.11.2004 um 21:15 Uhr von Sabina editiert.
|
|
|
||
03.11.2004, 21:14
Member
Beiträge: 11 |
#29
Hallo@Sabina,
sorry, hab fälschlicherweise das falsche Log-File gepostet. Hier also das Richtige: Logfile of HijackThis v1.98.2 Scan saved at 20:58:10, on 03.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\ICO.EXE C:\Programme\Sony\HotKey Utility\HKserv.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Browser USB MOUSE\mouse32a.exe C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\Programme\PowerPanel\Program\PcfMgr.exe D:\Antivirustools\HiJackThis198\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser USB MOUSE\mouse32a.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: PowerPanel.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com Außerdem habe ich noch die Dateien "etite.exe" und "putes.exe" in C:\Dokumente und Einstellungen\User\ gefunden. Kann sie nicht zuordnen. Sagen Dir diese *.EXEn was? Werde jetzt noch die Angaben in der Registrierung überprüfen. Schönen Abend noch. Danke für die Mühe und Gruß l-ax |
|
|
||
03.11.2004, 21:18
Ehrenmitglied
Beiträge: 29434 |
#30
Natuerlich loeschen..
C:\Dokumente und Einstellungen\User\ Dateien "etite.exe" und "putes.exe" die <msxmidi.exe< laed andere Malware nach * dk32.exe * sexxx.exe * toolbar.exe * dktime.exe * CComm.dll * rara.exe * SyncroAd.exe * WinSync.exe * 124840.dlr * 124840.exe * services.exe * msxmidi.exe * bitmap.tmp * file.exe * exploit.exe * f***er.exe (*** replaces the actual text used) * winmm64.exe * s-PEPE.exe * PEPEmsPE.exe * lpt.exe * ir.exe * intron.exe * intronet.exe * twink64.exe * usb.exe * teur.exe * host32.exe * sidefind.exe * alchem.exe * powerscan.exe * bdl74125.exe * Installer2.exe * ttgkirnl.exe * bargains.exe * WinClt.exe * Winad.exe * istsvc.exe * actalert.exe * optimize.exe * iinstall.exe * fnnmqi.exe * exdl.exe * printer.exe * printer32.exe * ykyrtws.exe * loadclean.exe * telnet.exe http://de.mcafee.com/virusInfo/default.asp?id=description&virus_k=128632 Eigentlich muesste dein Virenscanner die Malware erkennen.... Onlinescann: #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.11.2004 um 21:27 Uhr von Sabina editiert.
|
|
|
||
Dann lade die Sicherheitsupdates, alles ausser , was SP1 und SP2 beinhaltet.
Aber den IE kannst du\musst du ohne weiteres auf SP1 aktualisieren.
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
Dann besorge dir schnellstens eine legaleXP-Version.
1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/windows-xp-firewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
http://www.free-av.de/
10) alle Passworte aendern
11) Firewall laden (zum Beispiel Sygate)
http://www.sygate.de/
12)<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php
13)TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)
14)TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm
15)AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.
mfg
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit