Qhosts.apd.trojan (die wievielte eigentlich schon?) |
||
---|---|---|
#0
| ||
16.11.2004, 16:21
...neu hier
Beiträge: 4 |
||
|
||
16.11.2004, 16:55
Ehrenmitglied
Beiträge: 29434 |
#47
Hallo@Hitsuji
Fixe: O4 - HKLM\..\Run: [DATABASE MySql] c:\windows\system32\qsws\repcale.exe c:\windows\system32\qsws\beird.exe O4 - HKLM\..\RunServices: [DATABASE MySql] c:\windows\system32\qsws\repcale.exe c:\windows\system32\qsws\beird.exe O4 - HKCU\..\Run: [DATABASE MySql] c:\windows\system32\qsws\repcale.exe c:\windows\system32\qsws\beird.exe O4 - HKCU\..\RunServices: [DATABASE MySql] c:\windows\system32\qsws\repcale.exe c:\windows\system32\qsws\beird.exe neustarten Loesche: <c:\windows\system32\qsws und alles, was dazugehoert. Schau dann auch in der registry Start<Ausfuehren<regedit, ob du zu: "qsws" und "DATABASE MySql" was findest und rechts in der registry loeschst. Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.11.2004 um 16:57 Uhr von Sabina editiert.
|
|
|
||
16.11.2004, 17:15
...neu hier
Beiträge: 4 |
#48
So, hier ist es:
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\System32\NVATray.exe C:\WINDOWS\mHotkey.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\helperservice.exe C:\PROGRA~1\eScan\AVKWCTL.EXE C:\PROGRA~1\eScan\avkserv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\cisvc.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\Programme\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE C:\Dokumente und Einstellungen\Owner\Desktop\Antivirenzeug\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQ4Lite\ICQLite.exe -minimize O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ4Lite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ4Lite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ4Lite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing) O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing) O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab |
|
|
||
17.11.2004, 21:37
...neu hier
Beiträge: 1 |
#49
hallo!
den PC meiner schwester hats auch erwischt... McAfee Virus Scan findet 2 viren: W32/Gaobot.worm.gen.d Qhost.apd dann kommt die ankündigung, er hätts gelöscht, dann auch bald wieder dieselbe warnung. __________________________________ hier mal mein LOGFILE von HijackThis: __________________________________ Logfile of HijackThis v1.98.2 Scan saved at 21:22:15, on 17.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe C:\WINDOWS\system\lsvchost.exe C:\WINDOWS\System32\csmrs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Dexxa\scw64.exe C:\Programme\McAfee.com\VSO\mcshield.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\HABERH~1\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.univie.ac.at:3128 O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWay\SearchAt\1.bin\MWSSRCAS.DLL__SpybotSDDisabled (file missing) O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Activater - {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} - (no file) O2 - BHO: YBIOCtrl Class - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [LVComs] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe O4 - HKLM\..\Run: [VC5MediaPlayer] C:\WINDOWS\System32\csmrs.exe O4 - Startup: Dexxa Optical Mouse.lnk = C:\Programme\Dexxa\scw64.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\OFFICE\OSA9.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/CursorManiaInitialSetup1.0.0.6.cab O16 - DPF: {36C417C6-13C6-448B-9784-DD73A93B0582} (McAfee.com Download+Installer Class) - http://download.mcafee.com/molbin/shared/mcinstall.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20010518/qtinstall.info.apple.com/qt502/de/win/QuickTimeInstaller.exe O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,76/mcinsctl.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,16/mcgdmgr.cab O16 - DPF: {DA28C54E-D95C-11D3-9A01-005004677EF4} - http://download.mcafee.com/molbin/clinic/CDM/McCDM.cab ________________________ nun ja, was tun? wäre über hilfe wirklich dankbar! Und: vasteh ich das richtig, dass hier nicht mal SP1 drauf ist? |
|
|
||
17.11.2004, 21:57
Ehrenmitglied
Beiträge: 29434 |
#50
Hallo@huugo
Eine Reinigung ist verschwendete Zeit, solange du nicht den IE aktualisierst und die WindowsUpdates machst. (Service Packs SP1 oder SP2) #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php wenn das erledigt ist, poste das Log noch mal oder installiere gleich windows neu. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.11.2004 um 21:58 Uhr von Sabina editiert.
|
|
|
||
21.12.2004, 01:36
...neu hier
Beiträge: 5 |
#51
Hallo an alle,
ich habe folgendes Problem und zwar seit eine Woche jetzt habe ich auf meinem pc das Wurm Qhosts.apd gefunden und kann ueberhaupt nix dagegen tun damit es weg geht. Hab mehrmals mit Mcafee gescannt und es kann nicht geloescht werden bzw. jedes mal wenn ich neustarte ist es wieder da. Die inffizierte Dateei scheint die winnt/system32/drivers/ect/hosts zu sein. Auf dem Taskmanager gibt es dennoch eine andere Dateei die die cpu bis auf 100% hochschiescht. Die ist die qgebv.exe. Hab im Netz ein bischen geschaut ob andere das gleiche Problem schon hatten. Sind zwar viele aber keiner hatte die o.g. Dateei inffiziert gehabt. Hab jetzt 2 mal Format gemacht aber ich hab mittlerweile kein Lust mehr das alles nochmal zu machen. Das Problem besteht aber und ich hab keine Idee mehr was ich machen soll. Koennt ihr mich wielleicht ein bischen weiter helfen? Ich bin euch dankbar Aris Dieser Beitrag wurde am 21.12.2004 um 11:32 Uhr von Sabina editiert.
|
|
|
||
21.12.2004, 11:32
Ehrenmitglied
Beiträge: 29434 |
#52
Hallo@aris
HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip 1.Log Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2004, 13:48
...neu hier
Beiträge: 5 |
#53
Hello Sabine,
es sieht nun so aus Logfile of HijackThis v1.99.0 Scan saved at 13:46:10, on 21.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: E:\WINNT\System32\smss.exe E:\WINNT\system32\winlogon.exe E:\WINNT\system32\services.exe E:\WINNT\system32\lsass.exe E:\WINNT\system32\svchost.exe E:\WINNT\system32\spoolsv.exe E:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe E:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe E:\WINNT\System32\svchost.exe E:\WINNT\System32\nvsvc32.exe E:\WINNT\system32\qgebv.exe E:\WINNT\system32\regsvc.exe E:\WINNT\system32\MSTask.exe E:\Programme\McAfee\McAfee VirusScan\VsStat.exe E:\WINNT\System32\WBEM\WinMgmt.exe E:\WINNT\system32\svchost.exe E:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe E:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe E:\Programme\McAfee\McAfee VirusScan\Avconsol.exe E:\WINNT\Explorer.EXE E:\WINNT\Mixer.exe E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\WINNT\system32\internat.exe E:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe F:\Winamp\winamp3.exe E:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - E:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [qvqe] qgebv.exe O4 - HKLM\..\RunServices: [qvqe] qgebv.exe -->Backdoor.Win32.Agobot.gen O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "E:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = E:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O23 - Service: AVSync Manager - Network Associates, Inc. - E:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - E:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe O23 - Service: Verwaltungsdienst fόr die Verwaltung logischer Datentrδger - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe O23 - Service: McShield - Unknown - E:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - E:\WINNT\System32\nvsvc32.exe O23 - Service: qvqe - Unknown - E:\WINNT\system32\qgebv.exe hoffe, dass ich es richtig gemacht habe.... vielen dank noch mal Dieser Beitrag wurde am 21.12.2004 um 14:46 Uhr von Sabina editiert.
|
|
|
||
21.12.2004, 14:36
Ehrenmitglied
Beiträge: 29434 |
#54
Hallo@aris
Lade die Killbox http://www.bleepingcomputer.com/files/killbox.php Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. So wird der Dienst deaktiviert: Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt ""qvqe" ." aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "qvqe " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "qvqe " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. ----------------------------------------------------------------------------- deaktiviere <qgebv.exe< im Taskmanger !!!! #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->>..noch nicht neustarten O4 - HKLM\..\Run: [qvqe] qgebv.exe O4 - HKLM\..\RunServices: [qvqe] qgebv.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= KillBox geh auf <Delete File on Reboot <Unregister .dll before deleting.” und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "yes" E:\WINNT\system32\qgebv.exe -->> PC neustarten ------------------------------------------------------------------------------ arbeite das bitte ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 #Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. -------------------------------------------------------------------------------------------- Dienste anzeigen: #Scrolle bis zu Mitte dieser Seite und lade: get_active_services_179.zip --> entpacken --> http://computercops.biz/postp237756.html gehe in den abgesicherten Modus (du must als Administrator angemeldet sein) http://www.tu-berlin.de/www/software/virus/savemode.shtml öffnen --> Active.txt-->es öffnet sich der [Texteditor]--> -->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" dann poste das neue Log vom HijackThis und berichte. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.12.2004 um 14:43 Uhr von Sabina editiert.
|
|
|
||
21.12.2004, 18:28
...neu hier
Beiträge: 5 |
#55
also ich hab es gemacht und nun sieht es so aus
Logfile of HijackThis v1.99.0 Scan saved at 18:25:55, on 21.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: E:\WINNT\System32\smss.exe E:\WINNT\system32\winlogon.exe E:\WINNT\system32\services.exe E:\WINNT\system32\lsass.exe E:\WINNT\system32\svchost.exe E:\WINNT\system32\spoolsv.exe E:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe E:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe E:\WINNT\System32\svchost.exe E:\WINNT\System32\nvsvc32.exe E:\WINNT\system32\regsvc.exe E:\WINNT\system32\MSTask.exe E:\Programme\McAfee\McAfee VirusScan\VsStat.exe E:\WINNT\System32\WBEM\WinMgmt.exe E:\WINNT\system32\svchost.exe E:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe E:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe E:\Programme\McAfee\McAfee VirusScan\Avconsol.exe E:\WINNT\Explorer.EXE E:\WINNT\Mixer.exe E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\WINNT\system32\internat.exe E:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe E:\Programme\McAfee\McAfee VirusScan\AlogServ.exe E:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - E:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\RunServices: [qvqe] qgebv.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "E:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = E:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O23 - Service: AVSync Manager - Network Associates, Inc. - E:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - E:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe O23 - Service: Verwaltungsdienst fόr die Verwaltung logischer Datentrδger - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe O23 - Service: McShield - Unknown - E:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - E:\WINNT\System32\nvsvc32.exe sag mir bitte es alles richtig gemacht wurde.... |
|
|
||
22.12.2004, 00:24
Ehrenmitglied
Beiträge: 29434 |
#56
Hallo@aris
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\RunServices: [qvqe] qgebv.exe neustarten loesche manuell: E:\WINNT\system32\qgebv.exe arbeite das durch. #NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org dann poste das neue Log noch einmal __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.12.2004 um 00:26 Uhr von Sabina editiert.
|
|
|
||
22.12.2004, 02:14
...neu hier
Beiträge: 5 |
#57
so
Logfile of HijackThis v1.99.0 Scan saved at 02:10:34, on 22.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: E:\WINNT\System32\smss.exe E:\WINNT\system32\winlogon.exe E:\WINNT\system32\services.exe E:\WINNT\system32\lsass.exe E:\WINNT\system32\svchost.exe E:\WINNT\system32\spoolsv.exe E:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe E:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe E:\WINNT\System32\svchost.exe E:\WINNT\System32\nvsvc32.exe E:\WINNT\system32\regsvc.exe E:\WINNT\system32\MSTask.exe E:\Programme\McAfee\McAfee VirusScan\VsStat.exe E:\WINNT\System32\WBEM\WinMgmt.exe E:\WINNT\system32\svchost.exe E:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe E:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe E:\Programme\McAfee\McAfee VirusScan\Avconsol.exe E:\WINNT\Explorer.EXE E:\WINNT\Mixer.exe E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\WINNT\system32\internat.exe E:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe E:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - E:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINNT\system32\NeroCheck.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "E:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = E:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O23 - Service: AVSync Manager - Network Associates, Inc. - E:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - E:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe O23 - Service: Verwaltungsdienst fόr die Verwaltung logischer Datentrδger - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe O23 - Service: McShield - Unknown - E:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - E:\WINNT\System32\nvsvc32.exe ist es ok so? im Taskmanager ist die cpu wieder ok und die dateei ist nicht mehr aktiv. wenn das alles ok ist sagst du mir bitte was das alles war?? kann ich jetzt wieder online gehen ohne probleme? wie kann ich mein rechner jetzt weiter schuetzen? das hat mir sehr viel zeit gekostet... hab vielen vielen dank |
|
|
||
22.12.2004, 12:00
Ehrenmitglied
Beiträge: 29434 |
#58
Hallo@aris
Thema: Leitfaden PC Sicherheit http://www.chip.de/forum/thread.html?bwthreadid=561773 Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!! arbeite das durch. #NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html <PC-Selbsttest http://check.lfd.niedersachsen.de/start.php <Sygate-Portscann http://scan.sygatetech.com/ <Sygate (Deutsch)Firewall http://www.sygate.de/ Das Log ist sauber __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.12.2004 um 12:05 Uhr von Sabina editiert.
|
|
|
||
22.12.2004, 13:58
...neu hier
Beiträge: 5 |
||
|
||
Logfile of HijackThis v1.98.2
Scan saved at 16:21:04, on 16.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\mHotkey.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\helperservice.exe
C:\PROGRA~1\eScan\avkserv.exe
C:\PROGRA~1\eScan\AVKWCTL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE
C:\WINDOWS\System32\cidaemon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Owner\Desktop\hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [DATABASE MySql] c:\windows\system32\qsws\repcale.exe c:\windows\system32\qsws\beird.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [DATABASE MySql] c:\windows\system32\qsws\repcale.exe c:\windows\system32\qsws\beird.exe
O4 - HKCU\..\Run: [DATABASE MySql] c:\windows\system32\qsws\repcale.exe c:\windows\system32\qsws\beird.exe
O4 - HKCU\..\RunServices: [DATABASE MySql] c:\windows\system32\qsws\repcale.exe c:\windows\system32\qsws\beird.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72FE08EC-0976-4BF3-9F54-15ADC7D56BC8}: NameServer = 217.237.151.225 217.237.150.225
Gruß Hitsuji