Qhosts.apd.trojan (die wievielte eigentlich schon?)

...neu hier

Beiträge: 4

#1 Hallo an alle,

versuche schon seit längeren vom laptop einer freundin den Qhosts.apd.trojan zu entfernen. hab mich im forum hier ein bisschen schlau gemacht und (so auf gut glück) folgendes gemacht:

#Stinger eingesetzt. Der hat auf C:\Windows\system32\drivers\etc\hosts eben den Qhosts.apd.trojan gefunden und entfernt

#wiederherstellung deaktiviert, heruntergefahren und in abgesicherten modus gewechselt

#adaware eingesetzt und alles entfernt

#spybot S&D eingesetzt und alles entfernt

#CWShredder eingesetzt (sagt, dass der Laptop clean ist)

#eSCan (2 Viren gefunden, renamed, log file hab ich gesichert)

#heruntergefahren und normal hochgefahren

#eSCan (die zweite, 2 Viren gefunden, renamed, log file hab ich wieder gesichert)

#nocheinmal den Stinger (der hat nichts finden können)

#Neustart

#hijackthis hat folgendes ausgespuckt:

Logfile of HijackThis v1.97.7
Scan saved at 23:59:03, on 1/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\windows\winset.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Documents and Settings\Ethel\®à±\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {33FB6728-BB66-7FBA-8756-17557CA62B4C} - C:\WINDOWS\System32\pgkvzrf.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norton Updater] C:\windows\winset.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: launApp.log
O4 - Startup: ntuser.dat
O4 - Startup: mt-uninstaller.exe.mwt
O4 - Startup: mt-uninstaller.exe
O4 - Global Startup: NTUSER.DAT
O4 - Global Startup: NTUSER.DAT.LOG
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

ich kenn mich mit dem ganzen leider nicht so aus, darum die bitte an euch: könnt ihr mir sagen, ob ich dieses miststück erlegt habe? und wenn nein, was würdet ihr mir vorschlagen?

danke für eure hilfe
servus
mathbau

Dieser Beitrag wurde am 01.10.2004 um 23:17 Uhr von mathbau editiert.

02.10.2004, 01:55

Ehrenmitglied

Beiträge: 29434

#2 Hallo @mathbau

Fixe:

O4 - HKLM\..\Run: [Norton Updater] C:\windows\winset.exe
O2 - BHO: (no name) - {33FB6728-BB66-7FBA-8756-17557CA62B4C} -
C:\WINDOWS\System32\pgkvzrf.dll
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3}
(VacPro.internazionale_ver3) -
http://www.advnt01.com/dialer/internazionale_ver3.CAB (DIALER)
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx

neustarten

#Start<Ausfuehren<cmd (reinkopieren)
regsvr32 /u C:\WINDOWS\System32\pgkvzrf.dll
<enter

#Oeffne Hijackthis>>>Config>>>Misc Tools>>>Delete File on Reboot
kopiere rein:
c:\windows\system32\pgkvzrf.dll
into the file name field and press the open button

<gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#Loesche im abgesicherten Modus.
C:\windows\winset.exe
C:\WINDOWS\System32\pgkvzrf.dll (falls es noch da ist)

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

und scanne noch mal im abgesicherten Modus mit escan
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Gehe wieder in den Normalmodus und scanne noch mal.

<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde (denn der Dialer muss manuell geleoscht werden)
und das neue Log vom HijackThis noch mal

#deaktiviere die Wiederherstellung.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 02.10.2004 um 02:04 Uhr von Sabina editiert.

02.10.2004, 21:18

...neu hier

Themenstarter

Beiträge: 4

#3 Grüß dich Sabina!

Erstmals danke für deine Antwort. Das mit den fixen hat alles geklappt. nur beim zweiten Schritt

#Start<Ausfuehren<cmd (reinkopieren)
regsvr32 /u C:\WINDOWS\System32\pgkvzrf.dll
<enter

kommt zur Antwort: ...fehlgeschlagen - das angegebene Modul wurde nicht gefunden

beim dritten Schritt (Hijackthis starten) finde ich unter MiscTool keinen Befehl "delete file on reboot". Soll ich vielleicht unter "Backups" die entsprechende zeile löschen (da sind die vier dinger drin, die ich fixen sollte)?

danke für die Antwort
lg mathbau

Dieser Beitrag wurde am 02.10.2004 um 23:06 Uhr von mathbau editiert.

03.10.2004, 00:43

Ehrenmitglied

Beiträge: 29434

#4 Hallo @mathbau

Also, du findest folgendes im HijackThis unter <MiscTools:

"open proces manager
"open hostfile manage
"delete a file on reboot

Dort klickst du drauf und dann kopierst du <pgkvzrf.dll< rein und startest neu

Danach gehe in die Registry
Start<Ausfuehren<regedit

oben links ist die Suchfunktion
dort gibst du ein

gkvzrf.dll (pgkvzrf.dll)
und loescht rechts in der Registry alle Eintraege von der dll.

#scanne mit Escan und:
Dann poste das Log vom HijackThis noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 03.10.2004 um 00:45 Uhr von Sabina editiert.

03.10.2004, 18:27

...neu hier

Themenstarter

Beiträge: 4

#5 Servus Sabina!

So bin jetzt fertig. War recht mühsam - meine Freundin hat nämlich auf ihren Laptop ein chinesisches Windows, musste immer jeden Schritt auf meinen Computer vormachen, damit ich weiß was ich tue - vergleichende Sprachwissenschaft in Reinkultur quasi ;-) Und das obwohl ich nicht einmal Chinesisch spreche.

Wiedemsosei, escan hat nix mehr gefunden. Und HijackThis hat mir folgendes ausgespuckt:

Logfile of HijackThis v1.98.2
Scan saved at 7:24:34, on 4/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Documents and Settings\Ethel\®à±\HijackThis.exe

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ¦¬µ¾÷(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

Irgendwie hab ich ein gutes Gefühl. Bitte zerstör' meine Hoffnung nicht ;-) Danke nochmals für deine Mühen.

Lg mathbau

Dieser Beitrag wurde am 04.10.2004 um 01:39 Uhr von mathbau editiert.

04.10.2004, 12:45

Ehrenmitglied

Beiträge: 29434

#6 Hallo @mathbau

Hast du also die pgkvzrf.dll geloescht ?
Wenn der eScan nichts mehr anzeigt, ist das ein gutes Zeichen.
Das Log ist sauber

Nun arbeite noch folgende Punkte ab:
0.Wiederherstellung deaktivieren (booten und wieder aktivieren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
1.Aendere eventuell vorhandene nicht verschluesselte Passworte
2.Lade den Browser <Firefox< und surfe nur mit ihm
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
3. Ueberpruefe, welche Dienste du aus Sicherheitsgruenden deaktivieren kannst
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 04.10.2004 um 12:46 Uhr von Sabina editiert.

05.10.2004, 12:05

...neu hier

Themenstarter

Beiträge: 4

#7 Hallo Sabina!

Alle pgkvzrf.dll die ich gefunden habe, hab ich gnadenlos vernichtet. Und deine letzten Empfehlungen hab ich auch durchgeführt. Danke vielmals. Finde echt nett, dass du dir die Zeit nimmst wirren Computer-Laien unter die Arme zu greifen.

Servus
mathbau

08.10.2004, 03:03

...neu hier

Beiträge: 4

#8 hallo!

hab das selbe problem...ich bekomme diese dinger einfach nicht von meinem pc...
mein hijack-log sagt folgendes:

Logfile of HijackThis v1.98.2
Scan saved at 02:43:13, on 08.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Meropi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_198.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [SonicFocus] "C:\Programme\Sonic Focus\SFIGUI\SFIGUI.EXE" BOOT
O4 - HKLM\..\Run: [farstone] NULL
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\FarStone\RestoreIT!\RestoreIT!_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\Run: [NetWork] csrs.exe
O4 - HKLM\..\Run: [Windows Configuration] wsys32.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\WinAmp\winampa.exe
O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKLM\..\RunServices: [NetWork] csrs.exe
O4 - HKLM\..\RunServices: [Windows Configuration] wsys32.exe
O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097099457076
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

ich bitte um hilfe!

lg, meropi

08.10.2004, 07:45

Ehrenmitglied

Beiträge: 29434

#9 Hallo @meropi

#Backdoor Functionality
http://www.trojaner-board.de/showpost.php?p=71796&postcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung
____________________________________________________________________

Oeffne das HijackThis < scann < hake folgendes an <fix< neustarten:

O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame
Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [SonicFocus] "C:\Programme\Sonic Focus\SFIGUI\SFIGUI.EXE"
BOOT
O4 - HKLM\..\Run: [farstone] NULL
O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\Run: [NetWork] csrs.exe
O4 - HKLM\..\Run: [Windows Configuration] wsys32.exe
O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKLM\..\RunServices: [NetWork] csrs.exe
O4 - HKLM\..\RunServices: [Windows Configuration] wsys32.exe
O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

neustarten

#CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm

deaktiviere deinen Virenscanner (hast du einen ?????)
und lade:
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials

Scanne im abgesicherten und im Normalmodus (!)
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Search&Destroy
http://www.safer-networking.org/de/download/index.html

#Deaktivieren Wiederherstellung
XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Dann poste das Log vom HijackThis noch einmal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 08.10.2004 um 08:41 Uhr von Sabina editiert.

08.10.2004, 18:05

...neu hier

Beiträge: 4

#10 hallo sabina!

hier das hijack-log:

Logfile of HijackThis v1.98.2
Scan saved at 17:56:59, on 08.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Program Files\FarStone\RestoreIT!\RestoreIT!_XP\VBPTASK.EXE
D:\Programme\WinAmp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Meropi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\FarStone\RestoreIT!\RestoreIT!_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\WinAmp\winampa.exe
O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\Run: [NetWork] csrs.exe
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Anti-Virus Kav5.0\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKLM\..\RunServices: [NetWork] csrs.exe
O4 - HKLM\..\RunServices: [Microsoft SVHOST Configuration Service] svhost.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097099457076

hab alles gemacht, was du geschrieben hast. dabei treten zwei probleme auf: er fährt sich immer noch ständig runter.

zweitens kann anitvirus 5.0 und der dos-scanner auf einige files nicth zugreifen. eines davon ist C:/WINDOWS/system32/csrs.exe.

ich habe nun im systemstart folgendes deaktiviert: csrs.exe , mslti64.exe , msmsgs.exe , hkcmd.exe , ctfmon.exe.
mein pc hat deswegen noch nichts komischen gemacht.

hast du noch einen tipp für mich, was ich machen, um endlich diese dinger weg zu bekommen?

vielen dank!

lg, meropi

Dieser Beitrag wurde am 08.10.2004 um 18:24 Uhr von meropi editiert.

09.10.2004, 00:44

Ehrenmitglied

Beiträge: 29434

#11 Hallo @meropi

Dein PC ist kontinuierlich verseucht.
Denke bitte ueber eine Neuinstallation nach.....

#Deaktiviere die Wiederherstellung

Fixe
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll (file missing)
O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\Run: [NetWork] csrs.exe
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKLM\..\RunServices: [NetWork] csrs.exe
O4 - HKLM\..\RunServices: [Microsoft SVHOST Configuration Service] svhost.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe

neustarten

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

Gehe in den abgesicherten Modus (F8 beim Hochfahren druecken und sich als Administrator anmelden)

Gehe in die Registry
Start<Ausfuehren<regedit

Loesche rechts in der Registry folgende Eintraege (falls sie da sind:
<HKLM\Software\Microsoft\Windows\CurrentVersion\Run\svhost.exe
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run = svhost.exe
<HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run = svhost.exe
<HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run = svhost.exe
<HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run = svhost.exe
<HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run = svhost.exe
<HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
<HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
<HKLM\System\CurrentControlSet\Services\MSPatch
< HKLM\SYSTEM\CurrentControlSet\Services\a3x
<HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SoundMan
<HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svc32
<HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Sound Loader = sndloader.exe
<HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Sound Loader = sndloader.exe
<HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDMGR
<HKLM\SYSTEM\CurrentControlSet\Services\SndMgr

#Gib dann och oben links in die Suchfunktion der Registry ein

und loesche rechts in der Registry alles, was du findest)
<MSlti64.exe [W32/Gaobot.UE]
<csrs.exe [W32/Agobot-NI]
<sndloader.exe [W32/Agobot-BV]
<svhost.exe
<Tftpd.exe
< Video Process
<Sound Loader

schliesse die Registry

Loesche:
Das machst du so:
Oeffne noch mal das HijackThis:

HijackThis<Config<Delete a file on reboot<reinkopieren:NavExcelBar.dll <PC neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren:wmmon32.exe< neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren:dllhost.exe< neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren:Tftpd.exe<neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren: MSlti64.exe neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren:csrs.exe< PC neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren:svhost.exe< neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren:sndloader.exe<neustarten

Normalstart

#Deinstalliere den Kaspersky(ist durch die Viren zerstoert...) und lade Antivirus (free)
Antivirus (free)
http://www.free-av.de/
Konfiguriere:
"alle Dateien" und "Heuristik mittel" und scanne ebenfalls im abgesicherten Modus.

Normalstart

#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

#Mache alle CriticalUpdates von MS
Microsoft IIS 5.0 (MS03-007)
MS03-039 servicio RPCSS (824146)
MS04-011 (LSASS) (835732)

#Kerio Personal Firewall
Kerio ist freeware für den privaten Gebrauch.
http://www.kerio.com/kpf_download.html
<Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x
Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal).
http://www.firewallinfo.de/handbuecher/tiny_kerio_20/

#Noch einmal das Tool anwenden:
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

Wenn die Backdoors dann immer noch nicht geloescht sind...musst du eine Neuinstallation machen.

mfg
Sabina

http://www.sophos.de/virusinfo/analyses/w32agobotbv.html
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 09.10.2004 um 01:30 Uhr von Sabina editiert.

11.10.2004, 23:55

...neu hier

Beiträge: 4

#12 hallo!

würde das auch gerne alles in der registry löschen, weiss aber leider überhaupt nicht wie ich all diese zeilen finde?
Kannst du mir sagen, in welchem ordner die sind?
Habs mit der Suchfunktion probiert, hilft mir aber nicht weiter.

Danke,
mfg,
meropi

12.10.2004, 00:50

Ehrenmitglied

Beiträge: 29434

#13 Hallo @meropi

Vergiss die Registry !!!!!!!!!!!!!

Loesche:
Das machst du so:
Oeffne noch mal das HijackThis:

HijackThis<Config<Delete a file on reboot<reinkopieren:NavExcelBar.dll <PC neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren:wmmon32.exe< neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren:dllhost.exe< neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren:Tftpd.exe<neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren: MSlti64.exe neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren:csrs.exe< PC neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren:svhost.exe< neustarten

HijackThis<Config<Delete a file on reboot<reinkopieren:sndloader.exe<neustarten
_________________________________________________________________________________

#Deinstalliere den Kaspersky(ist durch die Viren zerstoert...) und lade Antivirus (free)
Antivirus (free)
http://www.free-av.de/
Konfiguriere:
"alle Dateien" und "Heuristik mittel" und scanne ebenfalls im abgesicherten Modus.

Normalstart

#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

#Start<Programme<WindowsUpdates machen !!!

#Kerio Personal Firewall
Kerio ist freeware für den privaten Gebrauch.
http://www.kerio.com/kpf_download.html
<Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x
Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal).
http://www.firewallinfo.de/handbuecher/tiny_kerio_20/

#Noch einmal das Tool anwenden:
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 12.10.2004 um 00:52 Uhr von Sabina editiert.

12.10.2004, 16:09