Qhosts.apd.trojan (die wievielte eigentlich schon?)

#16 Hallo @meropi

Dann lade die Sicherheitsupdates, alles ausser , was SP1 und SP2 beinhaltet.
Aber den IE kannst du\musst du ohne weiteres auf SP1 aktualisieren.
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
Dann besorge dir schnellstens eine legaleXP-Version.

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/windows-xp-firewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
http://www.free-av.de/
10) alle Passworte aendern
11) Firewall laden (zum Beispiel Sygate)
http://www.sygate.de/
12)<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php
13)TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)
14)TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm
15)AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo,

nun hat es den Laptop vom Bekannten auch erwischt. Hatte selbst "leider" bisher noch nicht das fragwürdige Vergnügen :\ solcher Stehaufmänchen.

Folgende Schritte habe ich ausgeführt:
-Systemwiederherstellung deaktiviert,
-System im Abgesicherten Modus gestartet,
-McAfee-Virus-Scan: Trojaner Qhosts.apd gefunden und gereinigt.
-Neustart
-Erneute Virusmeldung, direkt nach dem das System hochgefahren ist.
-Virus wird wiederholt, jedoch nur im abgesicherten Modus erkannt.

Hänge hier noch ein HIJACKTHIS-Logfile an.

Logfile of HijackThis v1.98.2
Scan saved at 20:44:29, on 29.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Browser USB MOUSE\mouse32a.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\MSOffice\services.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\User\proover.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
C:\Dokumente und Einstellungen\User\amax.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B377} - C:\WINDOWS\system32\CustomIE32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ISP] C:\Programme\Sony\ISPselector\ISPselector.exe /SCHEDULER
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser USB MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\system32\MSOffice\services.exe
O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\McAfee.com\Shared\mcappins.exe /v=3 /cleanup
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=30579607f432361f4c24553de3a9fe7e27f55e8c7382e8f8124885381
78c09374cd3d1696277ab341d588a056fa84851d5e1f9fecd5da6e7490e:d3e35fce064ccfbb2d7510b28ebf1261



Wäre für hilfreiche Unterstützung sehr dankbar.

Gruß Mischa

#18 Hallo@l-ax

oeffne das HijackThis <scan <anhaken< fix< PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\WINDOWS\system32\shdocpe.dll/asst.html

O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B377} - C:\WINDOWS\system32\CustomIE32.dll
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=30579607f432361f4c24553de3a9fe7e27f55e8c73
82e8f812488538178c09374cd3d1696

neustarten

Moeglichkeiten die HOST-Datei zu reinigen:
Moeglichkeit 1)
#die Host-Datei (mit Notepad oeffnen)
in c:\Windows\System32\drivers\etc\hosts

127.0.0.1 localhost
#Original Host Datei
das ist der korrekte Eintrag, alles andere loeschen

Moeglichkeit 2:
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

Moeglichkeit 3)
#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.1.1.0 localhost
#Original Host Datei
_________________________________________________________________-
#oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\system32\CustomIE32.dll
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Program Files\Windows AdTools\WinAdTools.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Dokumente und Einstellungen\User\proover.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Dokumente und Einstellungen\User\amax.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Program Files\Windows AdTools\WinRatchet.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\system32\winad2.dll
PC neustarten

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt.
http://www.almisoft.de/traxex2.htm

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, bzw die Dateien im abgesicherten Modus loeschen (HijackThis dazu verwenden) Auch muss man die Eintraege in der Registrierung per Hand entfernen
--««und das neue Log vom HijackThis noch mal posten.

Tip:
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html

mfg
Sabina
******
http://vil.nai.com/vil/content/v_124880.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Hallo

und danke SABINA. Werde mich Stück für Stück durcharbeiten. Habe den Laptop leider nicht hier. Wird also mit dem neuen HiJackThis-Log-Posting paar Tage dauern können. Melde mich aber auf alle Fälle.

Ist für mich, ehrlich gesagt, schon sehr undurchsichtig, halbwegs durchzublicken, welche der -zig Sicherheits-Tools, sinnvoll oder notwendig sind, um ein einigermaßen "wasserfestes" System zu haben.
Sicher muß man dazu so tief in der Materie stecken wie Du.

Gruß und schönes Restwochenende.

l-ax

#20 Hallo@l-ax

Das sind keine SicherheitsTools, sondern Reinigungstools, um deinen PC wieder clean zu bekommen .

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#21 A-ja.
Wie auch immer. Habe jetzt alle Downloads getätigt und mache mich an die Arbeit.

Auch wenns nicht unbedingt hier rein gehört: Wurde bisher glücklicherweise selbst noch nicht derart "infiziert", aber welche "Grundausstattung" ist empfehlenswert, um es garnicht erst so weit kommen zu lassen? Ich selbst nutze WinXP-SP2, Mozilla Firefox und McAfee V8.0. (für einen Link zu einem Thread hier im Forum wäre ich dankbar).

Gruß l-ax

#22 Hallo@l-ax

Mit
#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt.
http://www.almisoft.de/traxex2.htm

und allem, was du schon hast, bist du gut ausgestattet.

#NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ + Entbinden des NetBios
oder . www.dingens.org

Kopiere ab und an dein Log vom HijackThis hier rein...wenn was undefiniertes Gelbes erscheint, mach die auf die Hacken, wenn was rotes auftaucht, sause los hier ins Forum.
#HijackThis-Auswertung
http://www.hijackthis.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#23 ...zu später Stunde...Hallo@Sabina

Danke für den Tipp. Für TraxEx würde ich direkt die Shareware-Gebühr löhnen, allerdings wird nur der IE, nicht aber der Firefox als Browser erkannt. Ist das korrekt? Andererseits lassen sich ja beim Firefox unter 'Datenschutz' mit der Option 'Alles löschen' ebenfalls die Spuren entfernen. Vollständig?

Gruß l-ax

#24 Hallo@l-ax

#ClaerProg (free)
http://www.clearprog.de/

Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME)
- Download-Listen des Netscape/Opera

Weiterhin können u.a. folgende Dinge gelöscht werden:
- Papierkorb
- Dokumentenordner im Startmenü
- Windows-Temp-Ordner
- Ausführen-Einträge im Startmenü
- Datei-Listen von MS Office-Programmen
- Datei-Listen des Windows Media Player und des RealPlayer
- eigene Ordner mit Filter (können selbst gewählt werden)
- PlugIn-Funktion zum selbständigen Einfügen von Löschvorgängen

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Hallo@Sabina

es ist so weit. Habe mich durchgewühlt. Folgendes Ergebnis:

Moeglichkeiten die HOST-Datei zu reinigen:
Moeglichkeit 1)
#die Host-Datei (mit Notepad oeffnen)
in c:\Windows\System32\drivers\etc\hosts

127.0.0.1 localhost
#Original Host Datei
das ist der korrekte Eintrag, alles andere loeschen

es gibt nur eine hosts.new-Datei. Da sind einige dubiose Webadressen eingetragen, alle mit 127.0.0.1 vorangestellt. Beim Versuch die Datei entsprechend zu ändern, wird diese nach einigen Minuten wieder überschrieben. Komplett löschen?
_________________________________________________________________-
#oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\system32\CustomIE32.dll
PC neustarten

Datei nicht vorhanden


HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\system32\winad2.dll
PC neustarten

Datei nicht vorhanden

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

ein kritisches Objekt wird erkannt, Programm hängt sich kurz darauf auf. Kein weiteres Scannen möglich


<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

Ergebnis aus dem mwav.log:
-File C:\WINDOWS\msmidi.exe infected by "TrojanDownloader.Win32.Agent.eq"Virus
-File C:\Dokumente und Einstellungen\User\Doul.exe infected by "TrojanClicker.Win32.Agent"
-File C:\WINDOWS\System32\MSOffice\Services.exe infected by "TrojanDownloader.Win32.Agent.eq"Virus


<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,

Welche der oben gefundenen *.exe-Dateien kann ich mit HiJackThis löschen? (Will nichts Falsches löschen). Außerdem trau ich mich ohne genaue Anleitung besser nicht an Regedit ran.

Würde nach dem Löschen dann noch mal das HiJackThis-Log posten.

Gruß Mischa

#26 Hallo@l-ax

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

#Oeffne das HijackThis.
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\msmidi.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Dokumente und Einstellungen\User\Doul.exe
PC neustarten

(oder manuell suchen und loeschen)

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\MSOffice\Services.exe
PC neustarten
____________________________________________________________-

Gehe in die Registry
Start<Ausfuehren<regedit
gib oben links in die Suchfunktion der Registry ein : msmidi.exe
und poste mir alles, was du gefunden hast.

Dann suche, ob du folgendes findest:
C:/windows/system32/services/msmidi.exe
Systemsteuerung/Verwaltung/Dienste und suche dort nach einem Dienst, der was mit der msmidi.exe zu tun hat.

Scanne noch mal mit dem eScan und berichte...und poste das neue Log vom HijackThis (mit einer neuen Startseite )

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Hallo und Guten Abend@Sabina,

ich bin guter Hoffnung:

1.AdAware hat sich während des Scannens nicht mehr aufgehangen. 1 kritischer Fehler (WinAd, Data Miner ide202101.vxd) gefunden und bereinigt.

2. host.new habe ich gelöscht, host mit HiJackThis neu erstellt.

3. sevices.exe, doul.exe und msxmidi.exe (sorry, hatte im letztem Posting versehentlich msmidi.exe geschieben) mit HiJackThis gelöscht.

4. in der Registrierung habe ich folgendes gefunden:

zu Services.exe in:
HKEY_Current_User\Software\Microsoft\Windows\ShellNoRoam\MUICache und
HKEY_Users\S-1-5-21-1981001023-4024994690-2552189465-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache

Wert Services

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Eventlog
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PlugPlay
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Eventlog
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\PlugPlay
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PlugPlay

Name:ImagePath
Typ: REG_EXPAND_SZ
%SystemRoot%\System32\Services.exe




Zu doul.exe in:
HKEY_CURRENT_USER\Software\Microsoft\ShellNoRoam\MUICache
HKEY_Users\S-1-5-21-1981001023-4024994690-2552189465-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache

C:\Dokumente und Einstellungen\User\doul.exe



zu msxmidi.exe keinen Eintrag gefunden.


neues HiJackThisLog:

Logfile of HijackThis v1.98.2
Scan saved at 17:51:57, on 03.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Antivirustools\HiJackThis198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser USB MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: PowerPanel.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com


Ich hoffe ich hab jetzt nichts vergessen.

Weitere Fragen:

Ist McAfee-Antivirus noch intakt, oder ist eine Neuinstallation von Nöten?
Auf welchem Weg kann man sich einen solchen Trojaner einfangen haben?

Gruß l-ax

#28 Hallo@l-ax

Loesche:
C:\Dokumente und Einstellungen\User\doul.exe

#und auch rechts in der Registry, was du zu <doul< findest.
<HKEY_CURRENT_USER\Software\Microsoft\ShellNoRoam\MUICache\doul.exe
<HKEY_Users\S-1-5-21-1981001023-4024994690-2552189465-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache\doul.exe

Ueberpruefe bitte folgendes:
1.Findest du C:\WINDOWS\System32\services\msxmidi.exe ??

2.<msxmidi.exe< unter diesen Eintraegen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
unter:
__NS_Service
__NS_Service_2
__NS_Service_3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root

LEGACY___NS_Service
LEGACY___NS_Service_2
LEGACY___NS_Service_3

und
HKLM\Software\Classes\CLSID\Sicherung\{0F372AFC-3140-48E5-9FA6-D8B6E4C67767}\InProcServer32
Name: Standard Typ: REG_SZ Wert: C:\WINDOWS\system32\system32.dll
Name: Threading Model Typ: REG_SZ Wert: Apartment

Ansonsten scanne noch mal mit eScan und berichte.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Hallo@Sabina,

sorry, hab fälschlicherweise das falsche Log-File gepostet.
Hier also das Richtige:

Logfile of HijackThis v1.98.2
Scan saved at 20:58:10, on 03.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Browser USB MOUSE\mouse32a.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
D:\Antivirustools\HiJackThis198\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser USB MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com



Außerdem habe ich noch die Dateien "etite.exe" und "putes.exe" in C:\Dokumente und Einstellungen\User\ gefunden.
Kann sie nicht zuordnen. Sagen Dir diese *.EXEn was?

Werde jetzt noch die Angaben in der Registrierung überprüfen.

Schönen Abend noch. Danke für die Mühe und Gruß l-ax

#30 Natuerlich loeschen..
C:\Dokumente und Einstellungen\User\
Dateien "etite.exe" und "putes.exe"

die <msxmidi.exe< laed andere Malware nach

* dk32.exe
* sexxx.exe
* toolbar.exe
* dktime.exe
* CComm.dll
* rara.exe
* SyncroAd.exe
* WinSync.exe
* 124840.dlr
* 124840.exe
* services.exe
* msxmidi.exe
* bitmap.tmp
* file.exe
* exploit.exe
* f***er.exe (*** replaces the actual text used)
* winmm64.exe
* s-PEPE.exe
* PEPEmsPE.exe
* lpt.exe
* ir.exe
* intron.exe
* intronet.exe
* twink64.exe
* usb.exe
* teur.exe
* host32.exe
* sidefind.exe
* alchem.exe
* powerscan.exe
* bdl74125.exe
* Installer2.exe
* ttgkirnl.exe
* bargains.exe
* WinClt.exe
* Winad.exe
* istsvc.exe
* actalert.exe
* optimize.exe
* iinstall.exe
* fnnmqi.exe
* exdl.exe
* printer.exe
* printer32.exe
* ykyrtws.exe
* loadclean.exe
* telnet.exe
http://de.mcafee.com/virusInfo/default.asp?id=description&virus_k=128632

Eigentlich muesste dein Virenscanner die Malware erkennen....

Onlinescann:
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit