Qhosts.apd.trojan (die wievielte eigentlich schon?)

#31 Hallo@Sabina


Loesche:
C:\Dokumente und Einstellungen\User\doul.exe

#und auch rechts in der Registry, was du zu <doul< findest.
<HKEY_CURRENT_USER\Software\Microsoft\ShellNoRoam\MUICache\doul.exe
<HKEY_Users\S-1-5-21-1981001023-4024994690-2552189465-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache\doul.exe

Alle Einträge gelöscht

Ueberpruefe bitte folgendes:
1.Findest du C:\WINDOWS\System32\services\msxmidi.exe ??

2.<msxmidi.exe< unter diesen Eintraegen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
unter:
__NS_Service
__NS_Service_2
__NS_Service_3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root

LEGACY___NS_Service
LEGACY___NS_Service_2
LEGACY___NS_Service_3

und
HKLM\Software\Classes\CLSID\Sicherung\{0F372AFC-3140-48E5-9FA6-D8B6E4C67767}\InProcServer32
Name: Standard Typ: REG_SZ Wert: C:\WINDOWS\system32\system32.dll
Name: Threading Model Typ: REG_SZ Wert: Apartment


Von alle dem ist nichts in der Registrierung zu finden.

Ansonsten scanne noch mal mit eScan und berichte.

Ergebnis: Kein Virus oder Infektion gefunden (nur 4 Fehler).

Isr der Rechner jetzt Clean?


Gruß l-ax

#32 Hallo@l-ax

Wenn eScan und dein Virenscanner nichts mehr anzeigen und alles, was du noch gefunden hattest, geloescht ist , muesste der PC sauber sein.
Deaktiviere die Wiederherstellung, boote und aktiviere sie wieder.

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Hallo@Sabina,

vielen Dank noch mal für Deine Mühe. Zwar habe ich viel Zeit mit der Beseitigung verbringen müssen, aber durch solche Sachen wird man andererseits nicht dümmer.

Ich habe lang nicht so viel Fachwissen und Hilfe in einem Forum erhalten wie hier, von Dir. Also Kompliment noch mal.

Gruß Mischa

#34 Hallo an alle!
Ich bitte euch alle um hilfe!
Ich kenne mich so gut wie garnicht mit pc aus und deswegen bin ich zu euch gestossen!
Ich bitte euch darum mir debei zu helfen den blöden trojaner zu entfernen!
Qhosts.apd!!!

Ich kriege den nicht weg! Ich habe mcafee 100 mal starten lassen! Der erkent ihn, löscht in aber nicht komplet!

Bitte erklärt mir wie ich das machen soll! Wie schon gesagt, eure umgangs sprache mit dem pc verstehe ich nicht!
Schickt mir bitte eine email mit einer erkläreung! Würde mich auf jeden fall freuen! Danke

sg_umberto@yahoo.it Ciao

#35 Hallo@sg_umberto

HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten)

(wir arbeiten hier nicht mit emails ; )
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#36 Hallo@Sabina

Ich danke ihnen!
Ich werde es sofort aus probieren wenn ich zuhause bin.
Danke noch mal!

Wünsch ihnen dann noch einen schönen tag!
mfg
Umberto

#37 Hi @ Sabina!
Ich habe alles gemacht und das kam da raus!




Logfile of HijackThis v1.98.2
Scan saved at 14:56:39, on 09.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\McAfee Desktop Firewall für Windows XP\FireSvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\MSOffice\services.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe
C:\Programme\Network Associates\McAfee Desktop Firewall für Windows XP\FireTray.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Dokumente und Einstellungen\the rock\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\pxhping.exe
C:\WINDOWS\System32\service.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\System32\MSOffice\services.exe
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: McAfee Desktop Firewall Tray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: Yahoo! Spades - http://download.games.yahoo.com/games/clients/y/st2_x.cab
O21 - SSODL: eplrr - {3D51CBA1-3666-4485-8082-2622503E3239} - C:\WINDOWS\System32\eplrr3.dll

Hoffe dz kannst mir weiter helfen! Ciao

#38 Hallo@sg_umberto

Start<Ausfuehren<regedit:

loesche:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc

<HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PNPSVC
<HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC
<HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PNPSVC

oben in der Registry <edit< permissions (Berechtigungen)
Ändern Sie außerdem noch die Rechte unter "Sicherheit" -> "Berechtigungen" und geben Sie der Gruppe "Jeder" bzw. "Everyone" auf diesen Zweig "Full Control"\
=>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PNPSVC
Die Berechtigung darf NICHT auf "Lesen" gestellt, sein, sonst kannst du es nicht loeschen.

#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\System32\MSOffice\services.exe
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://*.63.219.181.7
O21 - SSODL: eplrr - {3D51CBA1-3666-4485-8082-2622503E3239} - C:\WINDOWS\System32\eplrr3.dll

neustarten

#oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
C:\WINDOWS\System32\eplrr3.dll
PC neustarten

Diese Prozedur machst du mit.
<C:\WINDOWS\System32\pxhping.exe
<C:\WINDOWS\System32\msacmx.dll
<C:\WINDOWS\System32\dllhostxp.exe oder: C:\WINDOWS\dllhostxp.exe
_____________________________________________________
#Du hast zwei aktiv,C:\WINDOWS\System32\service.exe
die untere im HijackThis wird als "bad" angezeit...ueberpruefe beide:
und ueberpruefe auch: <C:\WINDOWS\System32\clfmon.exe

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
poste mir das Ergebnis.
________________________________________________________
#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporary Internet Files, O.K
#Click:Temporary Files, O.K

#ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

#lade dieses Tool:
Adding sites\servers to the Internet Explorer Restricted Zone
http://www.mvps.org/winhelp2002/restricted.htm
Download: Del_HKCU_Domains.inf - Right-click and select: Save Target As
To use: right-click and select: Install (no need to restart)
Note: This will remove all entries in the "Trusted Zone" also.
---------------------

<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,

Dann stelle unter <Internetoption< eine neue Startseite ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#39 Hi @SABINA

Ich habe die pnpsvc nicht gefunden. Ich habe aber eine gefunden die den Wert mnmsvc hat!

(1)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\pnpsvc

(2)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc

(3)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\pnpsvc

(4)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\pnpsvc

(5)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\pnpsvc

(6)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc

(7)<HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PNPSVC

(8)<HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC

(9)<HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PNPSVC


Von diesen "adressen" Habe ich nur (1),(3)und(5) mit der dateinwert mnmsvc! Ich habe auch "NICHT LESEN" eingestellt so wie sie eis meinten! Bevor ich also was falsches leosche wollte ich sie noch einmal fragen?

Es tuht mir leid falls ich Sie nerve. Sollte es so sein dann sagen Sie mir bitte bescheid!

mfg Umberto

#40 Hallo@sg_umberto

Mnmsvc gehoert zum Dienst:NetMeeting-Remotedesktop-Freigabe-Prozess
(RDS-Prozess)
Den natuerlich nicht loeschen.
Zu loeschen waere nur alles mitnpsvc (pnpsvc)
Wenn es das nicht gibt, schliesse die Registry und arbeite die anderen Punkte ab.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#41 Hi @Sabina!
Ich danke Ihnen für Ihre Hilfe!
Ich habe den Virus aber trozdem nur mit Hilfe von Spybot weg kriegen können!

Ciao und danke noch mal!!!

Mit freundlichen Grüßen
sg_umberto

#42 Abend Sabina!
Ich hab irgendwie seit drei Wochen böse Probleme mit Würmen, Trojanern und Backdoors und ich bekomm sie einfach nicht weg! Ich hoffe, du kannst mir helfen...ich bin schon so verzweifelt!

Stinger hat folgendes gefunden:
Scan initiated on Mon Nov 15 23:35:01 2004

c:\windows\system32\qsws\beird.exe
Found the IRC/Flood.cd.dr trojan !!!
c:\windows\system32\qsws\beird.exe has been deleted.
c:\windows\system32\qsws\alte.exe\alte.exe
Found the Exploit-DcomRpc.gen virus !!!
c:\windows\system32\qsws\alte.exe\alte.exe has been deleted.
C:\WINDOWS\system32\qsws\hosts
Found the Qhosts.apd trojan !!!
C:\WINDOWS\system32\qsws\hosts has been repaired.
C:\System Volume Information\_restore{02742CDF-4DAD-447A-A366-C85AB8E01BA4}\RP189\A0175426.exe
Found the IRC/Flood.cd.dr trojan !!!
C:\System Volume Information\_restore{02742CDF-4DAD-447A-A366-C85AB8E01BA4}\RP189\A0175426.exe has been deleted.
C:\System Volume Information\_restore{02742CDF-4DAD-447A-A366-C85AB8E01BA4}\RP189\A0175427.exe\A0175427.exe
Found the Exploit-DcomRpc.gen virus !!!
C:\System Volume Information\_restore{02742CDF-4DAD-447A-A366-C85AB8E01BA4}\RP189\A0175427.exe\A0175427.exe has been deleted.

Number of clean files: 402885
Number of infected files: 2
Number of Trojans: 2
Number of files repaired: 1
Number of files deleted: 4

Der Hijacktthis
Logfile of HijackThis v1.97.7
Scan saved at 00:55:40, on 16.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE
C:\WINDOWS\System32\enotxa2.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\NVATray.exe
C:\Dokumente und Einstellungen\Owner\Anwendungsdaten\cosr.exe
c:\windows\system32\qsws\wshield.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\cidaemon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Owner\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Start aThe Roll] enotxa2.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\RunServices: [Windows Media Player 6.1.2] wmplayer612.exe
O4 - HKLM\..\RunServices: [Windows Compliant] cphxbr.exe
O4 - HKLM\..\RunServices: [Start aThe Roll] enotxa2.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKCU\..\Run: [Start aThe Roll] enotxa2.exe
O4 - HKCU\..\Run: [Nels] C:\Dokumente und Einstellungen\Owner\Anwendungsdaten\cosr.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37361.2830671296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72FE08EC-0976-4BF3-9F54-15ADC7D56BC8}: NameServer = 217.237.151.225 217.237.150.225


Ich danke dir jetzt schon mal für deine Hilfe.
Gruß Hitsuji

#43 Hallo@Hitsuji

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Start aThe Roll] enotxa2.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\RunServices: [Windows Media Player 6.1.2] wmplayer612.exe
O4 - HKLM\..\RunServices: [Windows Compliant] cphxbr.exe
O4 - HKLM\..\RunServices: [Start aThe Roll] enotxa2.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKCU\..\Run: [Start aThe Roll] enotxa2.exe
O4 - HKCU\..\Run: [Nels] C:\Dokumente und Einstellungen\Owner\Anwendungsdaten\cosr.exe

neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren.
C:\WINDOWS\System32\enotxa2.exe
PC neustarten

das machst du mit:
<C:\Dokumente und Einstellungen\Owner\Anwendungsdaten\cosr.exe

<c:\windows\system32\qsws
<c:\windows\system32\qsws\wshield.exe [ wshield.exe - hacked version of SlimFTPd server application]
<c:\windows\system32\qsws\beird.exe
<c:\windows\system32\qsws\alte.exe\alte.exe
<C:\WINDOWS\system32\qsws\hosts

<C:\Program Files\Windows AdControl\WinAdCtl.exe
<c:\windows\system32\wmplayer612.exe
<c:\windows\system32\Msbb.exe
<c:\windows\Msbb.exe
<c:\windows\system32\cphxbr.exe

Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Dann scanne noch mal mit eScan, aber im abgesicherten Modus.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#44 Danke für deine schnelle Antwort, Sabina!

okay...ich schäm mich schon fast, aber ich komm nicht weiter...
1.)Ich finde "Delete a file on reboot" unter Misc Tools nicht!
2.) Wie komm ich in den abgesichterten Modus? Ich hab das noch nie gemacht. *schäm*
-------------
Das mit dem abgesichterten Modus hat sich erledigt. Hab im Forum jetzt nachgelesen.
-------------
Oh, tut mir Leid...ich hatte nicht die aktuellste Version.
Hab es jetzt aber gefunden.

#45 Hier ist es: (loesche das alte HijackThis)

HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit