"Trojan.Win32.Qhost.k" / loadnew.exe

#0
28.10.2004, 19:22
...neu hier

Beiträge: 3
#1 Hallo Wissende,

gestern fragte meine Firewall ploetzlich, ob ich loadnew.exe den Weg ins Netz freigeben moechte.

Hab ich erst mal nicht gemacht. ;)

Dannach habe ich meinen Rechner im abgesicherten Modus mit verschiedenen Programmen gescannt.

AntiVir free, a² free, adaware und CWShredder haben nichts gefunden.

Das dann runtergeladene Programm eScan fand dann : File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.

Die Host-Datei laesst sich nicht oeffnen bzw. "konnte nicht gefunden werden".

C/Windows/loadnew.exe habe ich von Hand geloescht.

Meine Fragen sind nun: Was ist das fuer ein Trojaner und wie werde ich den wieder los ?

Gruz
DAU ( ;) )

P.S.: eScan habe ich runtergeladen und wollte es in c:bases entpacken, das wollte wohl aber eScan nicht. ;)
eScan wurde sofort gestartet.
Seitenanfang Seitenende
28.10.2004, 21:33
...neu hier

Themenstarter

Beiträge: 3
#2 Nachtrag

Habe jetzt mal HJT laufen lassen.

Das Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:23:10, on 28.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\ED\Eigene Dateien\DOWNLOAD\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:/www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\Programme\XP-TunerPRO\PopUp-Killer\PopUp-Killer.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Reboot.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

Das aber nicht im abgesicherten Modus.

Es waere schoen, wenn jemand von Euch mir einen Tipp geben koennte. ;)


Gruz
DAU
Seitenanfang Seitenende
28.10.2004, 21:35
Moderator

Beiträge: 7805
#3 Hier ist eine bewschreibung des Trojaners:http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=124880

eScan(mwav.exe) kannst du mit Hilfe eines Tools wie Winrar oder Winzip oeffnen und dan in c:\bases entpacken. Wenn du die mwav.exe startest, wird die Datei (mwavscan.com)sofort ausgefuhrt.

Dein Log sieht sauber aus.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.10.2004, 21:53
...neu hier

Themenstarter

Beiträge: 3
#4 Hi raman,

besten Dank fuer Deine schnelle Antwort.

Ich habe jetzt mal das logfile bei hijackthis.de eingegeben.
Auch dort scheint alles O.K. zu sein. ;)

Warum finde ich es dann noch und nur in eScan ???

Ist es besser/muss ich mwav.exe im c:\bases entpacken, oder ist der Direktstart auch O.K. ?
HJT immer im abgesicherten Modus oder auch im normalen Modus ?


Soo viele Fragen ...
Gruz
DAU

Ach ja, Alles Gute zur Schnapszahl. ;)
Dieser Beitrag wurde am 28.10.2004 um 21:54 Uhr von DAU editiert.
Seitenanfang Seitenende
29.10.2004, 12:39
Moderator

Beiträge: 7805
#5 Koennte ein Fehlalarm sein, du kannst die Datei an virus@protecus.de schicken. Dann schau ich es mir mal an.

Direktstart von MWAV sollte auch reichen, wenn es frisch heruntergeladen wurde, denn sie aktualisieren zur Zeit anscheinend Taeglich.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.11.2004, 22:35
Member

Beiträge: 14
#6 Hallo!

Ich hab das Gleiche Problem, hab nur GAR KEINE AHNUNG, was ich tin soll:

Logfile of HijackThis v1.97.7
Scan saved at 22:30:58, on 13.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\wampp2c\apache\bin\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\wampp2c\apache\bin\Apache.exe
C:\wampp2c\mysql\bin\mysqld.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com
C:\cFosNT7\cFosDNT.exe
C:\WINNT\system32\systime.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\systime.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe
D:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT7\cFosDNT.exe
O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\MSOffice\Office\FASTBOOT.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=714b9e99bb1ec51fadc828f5983e23109b906c2b320d9f1b39ed54699be7e97f4caf42694383070009646062296ff92e68cfba8c:eb8a1fb09d00c5943edceabcca450006
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38284.4776157407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



Hat jemand ne Idee????

tibby
Seitenanfang Seitenende
13.11.2004, 22:44
Moderator

Beiträge: 7805
#7 Schau mal hier:

http://board.protecus.de/t13460-2.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.11.2004, 23:04
Member

Beiträge: 14
#8 jetzt siehts so aus:


Logfile of HijackThis v1.97.7
Scan saved at 23:04:08, on 13.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\wampp2c\apache\bin\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\wampp2c\mysql\bin\mysqld.exe
C:\wampp2c\apache\bin\Apache.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\cFosNT7\cFosDNT.exe
C:\WINNT\system32\systime.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\systime.exe
C:\Programme\The Bat!\thebat.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe
D:\antiviren\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT7\cFosDNT.exe
O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\MSOffice\Office\FASTBOOT.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BF7F63D-AE90-4B8C-B2E2-2B8191313612}: NameServer = 217.237.151.33 217.237.149.225


noch was falsch???
tibby
Seitenanfang Seitenende
13.11.2004, 23:55
Moderator

Beiträge: 7805
#9 Das muss noch gefixt werden:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\MSOffice\Office\FASTBOOT.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\OSA9.EXE
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.11.2004, 11:18
Member

Beiträge: 14
#10 hier nun neu:
alles okay???



Logfile of HijackThis v1.97.7
Scan saved at 11:18:16, on 14.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\wampp2c\apache\bin\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\wampp2c\mysql\bin\mysqld.exe
C:\wampp2c\apache\bin\Apache.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com
C:\cFosNT7\cFosDNT.exe
C:\WINNT\system32\systime.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\systime.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe
C:\Programme\The Bat!\thebat.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT7\cFosDNT.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BF7F63D-AE90-4B8C-B2E2-2B8191313612}: NameServer = 217.237.151.33 217.237.149.225

tibby.
Seitenanfang Seitenende
14.11.2004, 11:33
Member

Beiträge: 14
#11 Ach Mensch, sone Sch****!!!

Wenn ich ins Internet will, ist plötzlich eine neue Startseite da, ein anderer Browser, hab ich das Gefühl und laufend die Fehlermeldung von sonem trojanischem Pferd.

Ich will doch nur ganz einfach ins Netz.

Wer hat meine Startseite manipuliert????

Was muss ich wo löschen, ändern oder so??

Hier nochmal der aktuelle Stand:

Logfile of HijackThis v1.97.7
Scan saved at 11:27:50, on 14.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\wampp2c\apache\bin\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\wampp2c\mysql\bin\mysqld.exe
C:\wampp2c\apache\bin\Apache.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\cFosNT7\cFosDNT.exe
C:\WINNT\system32\systime.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\systime.exe
D:\antiviren\HijackThis.exe
C:\Programme\The Bat!\thebat.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT7\cFosDNT.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BF7F63D-AE90-4B8C-B2E2-2B8191313612}: NameServer = 217.237.151.33 217.237.149.225

Wenn ich doch nur wüsste, was falsch ist.
Bei Antivirenprogrammen zeigt er mir auch mind. 8 gefundene Viren an.
Ich werd nochmal durchlaufen lassen und das Ergebnis posten:

nr. 1:

C:\WINNT\Downloaded Program Files
desktop.ini
DirectAnimation Java Classes.osd
Microsoft XML Parser for Java.osd
iuctl.inf
swflash.inf
erma.inf
WinAdCtlX.dll
ISTactivex.dll
[FUND!] Ist das Trojanische Pferd TR/HideRun.A.2
Konnte nicht gelöscht werden!

nr. 2:

C:\Program Files\Windows AdControl
WinAdAlt.exe
[FUND!] Ist das Trojanische Pferd TR/HideRun.A.7
Konnte nicht gelöscht werden!
WinAdShift.dll
WinAdCtl.exe

nr. 3:

POP[3].CHM
[FUND!] Ist das Trojanische Pferd TR/Dldr.Psyme.Q
WURDE GELÖSCHT!
i[1].htm

nr. 4:

ArchiveType: ZIP
--> Counter.class
[FUND!] Enthält Signatur des Java-Scriptvirus JS/OpenConnect.J.1
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Forten.Java.2
--> Matrix.class
--> Parser.class
[FUND!] Enthält Signatur des Java-Scriptvirus JS/OpenConnect.J.3
loadadv249[1].exe

nr. 5:

ArchiveType: CAB (Microsoft)
--> istactivex.dll
[FUND!] Ist das Trojanische Pferd TR/HideRun.A.2
--> istactivex.inf
log_downloads[1].htm
ThawteCodeSigningCA[1].crl
WinAdAlt[1].exe
[FUND!] Ist das Trojanische Pferd TR/HideRun.A.7
WURDE GELÖSCHT!

so:

2766 Verzeichnisse wurden durchsucht
57979 Dateien wurden geprüft
21 Warnungen wurden ausgegeben
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
8 Viren bzw. unerwünschte Programme wurden gefunden



Muss ich nun, nur um im Netz zu surfen, IT studieren?
Wie schütze ich mich am Besten?

Ich habe AntiVir immer aktuell, ein Spam und Antivir beim EMail-Server. Was brauch ich noch?

Ach-herrje!

Bitte, helft einer dusseleigen userin.!

Tibby
Seitenanfang Seitenende
14.11.2004, 12:04
Moderator

Beiträge: 7805
#12 ^Du musst unter anderem das fixen

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe

und das loeschen

C:\WINNT\system32\systime.exe
C:\Program Files\Windows AdControl\ (das ganze Verzeichniss/Ordner)

und zusaetzlich das, was eScan noch findet.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.11.2004, 13:24
Member

Beiträge: 14
#13

Zitat

raman postete

und das loeschen

C:\WINNT\system32\systime.exe
C:\Program Files\Windows AdControl\ (das ganze Verzeichniss/Ordner)

und zusaetzlich das, was eScan noch findet.
das erste kann ich nicht löschen:
Datei kann nicht gelöscht werden, zugriff wurde verweigert, quelldatei ist möglicherweise geöffnet

wat nu???

beim zweiten ebenfalls.

sollte ich erstmal alles schließen??
und dann versuchen???
probier ich mal...

tibby
Seitenanfang Seitenende
14.11.2004, 14:06
Moderator

Beiträge: 7805
#14 Im Abgesicherten Modus geht es, oder beende den Task via dem Taskmanager.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.11.2004, 14:40
Member

Beiträge: 14
#15

Zitat

raman postete
Im Abgesicherten Modus geht es, oder beende den Task via dem Taskmanager.
okay. das erste, die systime.exe ist raus.
aber das zweite teil, den ordner, krieg ich nicht raus.
aber ich weiß auch nicht, wie ich in den abgesicherten modus komme...

ich danke euch schonmal im voraus für eure geduld mit mir.
und beim öffnen des IE öffnet sich nun schonm nur noch ein blank-fenster. ist ja schon was, oder?

tibby!
Seitenanfang Seitenende