qhosts.apd Ichbekomme es nicht hin...

#0
04.10.2004, 14:29
...neu hier

Beiträge: 2
#1 Hallo

also ich habe herausgefunden, dass hier anscheinend ziemlich viele das problem mit diesem trojaner haben und konnte deshalb auch shcon einiges lesen und herausfinden. Aber bei klappt da gar nichts.

Also der stinger findet in der windows\...\etc\hosts den qhosts.apd und entfernt den fleißig. nach neustart ist der bekanntermaßen aber wieder da. also habe ich den hijackthis laufen lassen und habe die einträge, wo was mit der svxhost.exe stand fixen lassen. dann hab ich diese datei in der registry gesucht und alles gelöscht. auf dem rechner konnte ich die datei nicht löschen aber umbenennen.
systemwiederherstellung deaktiviert und neugestartet.
keine änderung.
svxhost.exe wieder zurückbenannt: -> keine änderung.
neue logdatei erstellt und keine ahnung was ich tun soll. der text lautet:


Logfile of HijackThis v1.98.2
Scan saved at 14:12:07, on 04.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVirenKit professional\AVKService.exe
C:\Programme\AntiVirenKit professional\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\cvpss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Win9x32.exe
C:\WINDOWS\System32\wpsvr.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVirenKit professional\AVKPOP.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\csmss.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\winmanagers.exe
C:\WINDOWS\System32\mwipcfgs.exe
C:\WINDOWS\DitExp.exe
C:\Dokumente und Einstellungen\Detlef Nelles\Desktop\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [system] dcomx.exe
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\AntiVirenKit professional\AVKPOP.EXE"
O4 - HKLM\..\Run: [windows] xax.exe
O4 - HKLM\..\Run: [4B7AD743] C:\WINDOWS\System32\wcvoydct.exe
O4 - HKLM\..\Run: [Shellapi32] mcvsrte.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Windows Management] C:\WINDOWS\System32\lsarcfg\mirc.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\zoqyiuy.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\pntngbvq.exe
O4 - HKLM\..\Run: [Microsoft Windows Internet Protocol Address GUI] mwipcfgs.exe
O4 - HKLM\..\Run: [Msn Updaters] winmanagers.exe
O4 - HKLM\..\Run: [Windows Network Controller] Win9x32.exe
O4 - HKLM\..\Run: [Wireless Provider Server] wpsvr.exe
O4 - HKLM\..\Run: [WindowsInstaller] C:\WINDOWS\System32\csmss.exe
O4 - HKLM\..\RunServices: [system] dcomx.exe
O4 - HKLM\..\RunServices: [windows] xax.exe
O4 - HKLM\..\RunServices: [8B57F358] C:\WINDOWS\System32\wcvoydct.exe
O4 - HKLM\..\RunServices: [Shellapi32] mcvsrte.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Internet Protocol Address GUI] mwipcfgs.exe
O4 - HKLM\..\RunServices: [Msn Updaters] winmanagers.exe
O4 - HKLM\..\RunServices: [Windows Network Controller] Win9x32.exe
O4 - HKLM\..\RunServices: [Wireless Provider Server] wpsvr.exe
O4 - HKLM\..\RunOnce: [Windows Network Controller] Win9x32.exe
O4 - HKLM\..\RunOnce: [Wireless Provider Server] wpsvr.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Msn Updaters] winmanagers.exe
O4 - HKCU\..\Run: [Microsoft Windows Internet Protocol Address GUI] mwipcfgs.exe
O4 - HKCU\..\Run: [Windows Network Controller] Win9x32.exe
O4 - HKCU\..\Run: [Wireless Provider Server] wpsvr.exe
O4 - HKCU\..\RunOnce: [Windows Network Controller] Win9x32.exe
O4 - HKCU\..\RunOnce: [Wireless Provider Server] wpsvr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=5f431369df59d8813229c851b42b9d6af28f3d51e75868abc8fa80184c44f0d644e511c78a49f9c08ad622a61ed6aa5b57e382dbb32c6cdd308ce643f4db1cef:7c6f4dbde71a3c5c3b2a69ff2df3d48a
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx




das ist nicht mein rehner und da ist glaube ich ziemlich viel müll drauf und ich werde dem besitzer auch vorschlagen den mal aufzuräumen, aber jetzt hätte ich gerne erstmal einen vorschlag, wie ich diesen trojaner loswerde.

vielen Dank scon mal
Feanor
Seitenanfang Seitenende
04.10.2004, 14:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@feanor

Dein PC ist hoffnungslos verseucht (!)...ca. 30 Eintraege zum Fixen (alles Backdoors und Trojaner )

Neuinstallation XP
http://8ung.at/chemikers-home/SETUP.html

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/windows-xp-firewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
http://www.firebird-browser.de/
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen.
Konfigurieren: "alle Dateien" im Scanner UND im Guard (jeden Tag updaten!!!!)
http://www.free-av.de/
10) alle Passworte aendern

11)Eine Firewall installieren (vorher die XP-Firewall wieder deaktivieren)
<Kerio Personal Firewall
Kerio ist freeware für den privaten Gebrauch.
http://www.kerio.com/kpf_download.html
<Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x
Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal).
http://www.firewallinfo.de/handbuecher/tiny_kerio_20/
12) auf unbekannte Autostarteintraege achten (sind die 04-Eintraege im HijackThis) und sehr oft Trojaner.
#Startup Control Panel
http://www.mlin.net/StartupCPL.shtml
##AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.10.2004 um 14:54 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.10.2004, 16:42
...neu hier

Themenstarter

Beiträge: 2
#3 hallo

danke für die hilfe. ich hatte mir schon sowas gedacht. aber gibt es denn nicht ein nettes programm was diese ganzen trojaner einfach entfernt? wenn nachher wieder neue eingefangen werden kann ich ja immer noch sagen, dass er den pc formatieren soll.

und die viren sind doch nach ner formation weg, oder? ich hab zwar keine ahnung, aber die können sich nicht zufällig in irgendwo ins bios hängen, oder so?

mfg
Feanor
Seitenanfang Seitenende
04.10.2004, 16:58
Member

Beiträge: 441
#4

Zitat

aber gibt es denn nicht ein nettes programm was diese ganzen trojaner einfach entfernt?
Nein, siehe http://oschad.de/wiki/index.php/Kompromittierung
http://oschad.de/wiki/index.php/Virenscanner

Zitat

wenn nachher wieder neue eingefangen werden kann ich ja immer noch sagen, dass er den pc formatieren soll.
Unsinn, was ist denn das für eine Logik.
Das Ziel sollte sein, daß man eine Kompromittierung durch Malware schon im Vorfeld vermeidet!
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende