"Trojan.Win32.Qhost.k" / loadnew.exe |
||
---|---|---|
#0
| ||
28.10.2004, 19:22
...neu hier
Beiträge: 3 |
||
|
||
28.10.2004, 21:33
...neu hier
Themenstarter Beiträge: 3 |
#2
Nachtrag
Habe jetzt mal HJT laufen lassen. Das Logfile: Logfile of HijackThis v1.98.2 Scan saved at 21:23:10, on 28.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\ED\Eigene Dateien\DOWNLOAD\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:/www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\Programme\XP-TunerPRO\PopUp-Killer\PopUp-Killer.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Reboot.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 Das aber nicht im abgesicherten Modus. Es waere schoen, wenn jemand von Euch mir einen Tipp geben koennte. Gruz DAU |
|
|
||
28.10.2004, 21:35
Moderator
Beiträge: 7805 |
#3
Hier ist eine bewschreibung des Trojaners:http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=124880
eScan(mwav.exe) kannst du mit Hilfe eines Tools wie Winrar oder Winzip oeffnen und dan in c:\bases entpacken. Wenn du die mwav.exe startest, wird die Datei (mwavscan.com)sofort ausgefuhrt. Dein Log sieht sauber aus. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
28.10.2004, 21:53
...neu hier
Themenstarter Beiträge: 3 |
#4
Hi raman,
besten Dank fuer Deine schnelle Antwort. Ich habe jetzt mal das logfile bei hijackthis.de eingegeben. Auch dort scheint alles O.K. zu sein. Warum finde ich es dann noch und nur in eScan ??? Ist es besser/muss ich mwav.exe im c:\bases entpacken, oder ist der Direktstart auch O.K. ? HJT immer im abgesicherten Modus oder auch im normalen Modus ? Soo viele Fragen ... Gruz DAU Ach ja, Alles Gute zur Schnapszahl. Dieser Beitrag wurde am 28.10.2004 um 21:54 Uhr von DAU editiert.
|
|
|
||
29.10.2004, 12:39
Moderator
Beiträge: 7805 |
#5
Koennte ein Fehlalarm sein, du kannst die Datei an virus@protecus.de schicken. Dann schau ich es mir mal an.
Direktstart von MWAV sollte auch reichen, wenn es frisch heruntergeladen wurde, denn sie aktualisieren zur Zeit anscheinend Taeglich. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.11.2004, 22:35
Member
Beiträge: 14 |
#6
Hallo!
Ich hab das Gleiche Problem, hab nur GAR KEINE AHNUNG, was ich tin soll: Logfile of HijackThis v1.97.7 Scan saved at 22:30:58, on 13.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\wampp2c\apache\bin\Apache.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\wampp2c\apache\bin\Apache.exe C:\wampp2c\mysql\bin\mysqld.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AVPersonal\AVSched32.EXE C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com C:\cFosNT7\cFosDNT.exe C:\WINNT\system32\systime.exe C:\Program Files\Windows AdControl\WinAdCtl.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\WINNT\system32\systime.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe D:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT7\cFosDNT.exe O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\MSOffice\Office\FASTBOOT.EXE O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\OSA9.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=714b9e99bb1ec51fadc828f5983e23109b906c2b320d9f1b39ed54699be7e97f4caf42694383070009646062296ff92e68cfba8c:eb8a1fb09d00c5943edceabcca450006 O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38284.4776157407 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Hat jemand ne Idee???? tibby |
|
|
||
13.11.2004, 22:44
Moderator
Beiträge: 7805 |
||
|
||
13.11.2004, 23:04
Member
Beiträge: 14 |
#8
jetzt siehts so aus:
Logfile of HijackThis v1.97.7 Scan saved at 23:04:08, on 13.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\wampp2c\apache\bin\Apache.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\wampp2c\mysql\bin\mysqld.exe C:\wampp2c\apache\bin\Apache.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AVPersonal\AVSched32.EXE C:\cFosNT7\cFosDNT.exe C:\WINNT\system32\systime.exe C:\Program Files\Windows AdControl\WinAdCtl.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\WINNT\system32\systime.exe C:\Programme\The Bat!\thebat.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe D:\antiviren\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT7\cFosDNT.exe O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\MSOffice\Office\FASTBOOT.EXE O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\OSA9.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{2BF7F63D-AE90-4B8C-B2E2-2B8191313612}: NameServer = 217.237.151.33 217.237.149.225 noch was falsch??? tibby |
|
|
||
13.11.2004, 23:55
Moderator
Beiträge: 7805 |
#9
Das muss noch gefixt werden:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\MSOffice\Office\FASTBOOT.EXE O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\OSA9.EXE __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.11.2004, 11:18
Member
Beiträge: 14 |
#10
hier nun neu:
alles okay??? Logfile of HijackThis v1.97.7 Scan saved at 11:18:16, on 14.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\wampp2c\apache\bin\Apache.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\wampp2c\mysql\bin\mysqld.exe C:\wampp2c\apache\bin\Apache.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AVPersonal\AVSched32.EXE C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com C:\cFosNT7\cFosDNT.exe C:\WINNT\system32\systime.exe C:\Program Files\Windows AdControl\WinAdCtl.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\WINNT\system32\systime.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe C:\Programme\The Bat!\thebat.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT7\cFosDNT.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{2BF7F63D-AE90-4B8C-B2E2-2B8191313612}: NameServer = 217.237.151.33 217.237.149.225 tibby. |
|
|
||
14.11.2004, 11:33
Member
Beiträge: 14 |
#11
Ach Mensch, sone Sch****!!!
Wenn ich ins Internet will, ist plötzlich eine neue Startseite da, ein anderer Browser, hab ich das Gefühl und laufend die Fehlermeldung von sonem trojanischem Pferd. Ich will doch nur ganz einfach ins Netz. Wer hat meine Startseite manipuliert???? Was muss ich wo löschen, ändern oder so?? Hier nochmal der aktuelle Stand: Logfile of HijackThis v1.97.7 Scan saved at 11:27:50, on 14.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\wampp2c\apache\bin\Apache.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\wampp2c\mysql\bin\mysqld.exe C:\wampp2c\apache\bin\Apache.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AVPersonal\AVSched32.EXE C:\cFosNT7\cFosDNT.exe C:\WINNT\system32\systime.exe C:\Program Files\Windows AdControl\WinAdCtl.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\WINNT\system32\systime.exe D:\antiviren\HijackThis.exe C:\Programme\The Bat!\thebat.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT7\cFosDNT.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{2BF7F63D-AE90-4B8C-B2E2-2B8191313612}: NameServer = 217.237.151.33 217.237.149.225 Wenn ich doch nur wüsste, was falsch ist. Bei Antivirenprogrammen zeigt er mir auch mind. 8 gefundene Viren an. Ich werd nochmal durchlaufen lassen und das Ergebnis posten: nr. 1: C:\WINNT\Downloaded Program Files desktop.ini DirectAnimation Java Classes.osd Microsoft XML Parser for Java.osd iuctl.inf swflash.inf erma.inf WinAdCtlX.dll ISTactivex.dll [FUND!] Ist das Trojanische Pferd TR/HideRun.A.2 Konnte nicht gelöscht werden! nr. 2: C:\Program Files\Windows AdControl WinAdAlt.exe [FUND!] Ist das Trojanische Pferd TR/HideRun.A.7 Konnte nicht gelöscht werden! WinAdShift.dll WinAdCtl.exe nr. 3: POP[3].CHM [FUND!] Ist das Trojanische Pferd TR/Dldr.Psyme.Q WURDE GELÖSCHT! i[1].htm nr. 4: ArchiveType: ZIP --> Counter.class [FUND!] Enthält Signatur des Java-Scriptvirus JS/OpenConnect.J.1 --> Dummy.class [FUND!] Ist das Trojanische Pferd TR/Forten.Java.2 --> Matrix.class --> Parser.class [FUND!] Enthält Signatur des Java-Scriptvirus JS/OpenConnect.J.3 loadadv249[1].exe nr. 5: ArchiveType: CAB (Microsoft) --> istactivex.dll [FUND!] Ist das Trojanische Pferd TR/HideRun.A.2 --> istactivex.inf log_downloads[1].htm ThawteCodeSigningCA[1].crl WinAdAlt[1].exe [FUND!] Ist das Trojanische Pferd TR/HideRun.A.7 WURDE GELÖSCHT! so: 2766 Verzeichnisse wurden durchsucht 57979 Dateien wurden geprüft 21 Warnungen wurden ausgegeben 2 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 8 Viren bzw. unerwünschte Programme wurden gefunden Muss ich nun, nur um im Netz zu surfen, IT studieren? Wie schütze ich mich am Besten? Ich habe AntiVir immer aktuell, ein Spam und Antivir beim EMail-Server. Was brauch ich noch? Ach-herrje! Bitte, helft einer dusseleigen userin.! Tibby |
|
|
||
14.11.2004, 12:04
Moderator
Beiträge: 7805 |
#12
^Du musst unter anderem das fixen
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe und das loeschen C:\WINNT\system32\systime.exe C:\Program Files\Windows AdControl\ (das ganze Verzeichniss/Ordner) und zusaetzlich das, was eScan noch findet. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.11.2004, 13:24
Member
Beiträge: 14 |
#13
Zitat raman postetedas erste kann ich nicht löschen: Datei kann nicht gelöscht werden, zugriff wurde verweigert, quelldatei ist möglicherweise geöffnet wat nu??? beim zweiten ebenfalls. sollte ich erstmal alles schließen?? und dann versuchen??? probier ich mal... tibby |
|
|
||
14.11.2004, 14:06
Moderator
Beiträge: 7805 |
#14
Im Abgesicherten Modus geht es, oder beende den Task via dem Taskmanager.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.11.2004, 14:40
Member
Beiträge: 14 |
#15
Zitat raman posteteokay. das erste, die systime.exe ist raus. aber das zweite teil, den ordner, krieg ich nicht raus. aber ich weiß auch nicht, wie ich in den abgesicherten modus komme... ich danke euch schonmal im voraus für eure geduld mit mir. und beim öffnen des IE öffnet sich nun schonm nur noch ein blank-fenster. ist ja schon was, oder? tibby! |
|
|
||
gestern fragte meine Firewall ploetzlich, ob ich loadnew.exe den Weg ins Netz freigeben moechte.
Hab ich erst mal nicht gemacht.
Dannach habe ich meinen Rechner im abgesicherten Modus mit verschiedenen Programmen gescannt.
AntiVir free, a² free, adaware und CWShredder haben nichts gefunden.
Das dann runtergeladene Programm eScan fand dann : File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
Die Host-Datei laesst sich nicht oeffnen bzw. "konnte nicht gefunden werden".
C/Windows/loadnew.exe habe ich von Hand geloescht.
Meine Fragen sind nun: Was ist das fuer ein Trojaner und wie werde ich den wieder los ?
Gruz
DAU ( )
P.S.: eScan habe ich runtergeladen und wollte es in c:bases entpacken, das wollte wohl aber eScan nicht.
eScan wurde sofort gestartet.