Trojanisches Pferd?? HCLEAN32.exe und Qhost.QR

#1 Hallo an alle:o)

Ich bin neu hier und kein besonders guter Computerkenner, aber ich hab mir hier einen Virus eingefangen, den ich nicht alleine runter bekomme. Und mein Virusprogramm (AntiVir9x) kann ihn auch nicht löschen. Könnt ihr mir so helfen, dass ich es auch verstehe???

Also ich versuchs mal zu erklären. Bei mir öffnet sich immer, wenn ich ins Net gehe ein gelber Ballon unten neben der Zeitanzeige. Und da steht drin
(Your Computer might be at risk, Your virus protection status is bad, Spyware Activity Detected, Click this baloon to fix this problem)

Das ist das eine und dann öffnet sich immer noch dies (C:\Windows\System\HCLEAN32.EXE, ist das Trojanische Pferd TR\Qhost.QR) Und (C:\Windows\System\RDSNDIN.EXE, ist das Trojanische Pferd TR\Click.256)

Kann jemand was damit anfangen??? ALso ich war auch schon mal in dem System Ordner und hab die 2 gelöscht, aber funktionier hat das nicht....es kommt immer wieder.

Hab auch mal diese Hijackthis runtergeladen, gescannt und dann wollte ich es speichern, aber das geht auch nicht, weil da so ne Warnung von AntiVir kommt mit (C:\EIGENE DATEIEN\SCHREIBSEL\KATRIN\HIJTHIS\SAVELOG\HIJACKTHIS.LOG
Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml, Die Datei wurde entsprechend der Standardeinstellung gelöscht.)

Wenn ich dann auf OK drücke kommt dann zwar dieser Editor, aber da steht nix drin.

Kann mir da jemand helfen um diesen Virus zu beseitigen???

Im Vorraus schon mal vielen dank:C)

Katrin153

#2 Du musst den Antivir Guard kurtz deaktivieren beim erstellen des Logs. Sollte kein Problem ein, da dein Rechner schon infiziert ist!
__________
MfG Ralf
SEO-Spam Hunter

#3 Ok...habe den Antivir Guard deaktiviert und es danach nochmal probiert. Aber es geht auch nicht. Da kommt dann ein Warnungskästchen, dass dies nicht in Paint gespeichert werden kann. Aber ich will das ja nicht in Paint speichern. Wie kann ich das im Editor speichern???

Und muss ich bei dem gescannten Häckchen davor setzen, damit es gespeichert werden kann oder geht das auch ohne???

sorry für die dummen Fragen,aber ich kenn mich wirklich nicht so gut damit aus.

katrin153

#4 Nein eigentlih nicht, vieleicht ist da eine verknuepfung bei dir falsch. Nach dieser Anleitung funktionirt es nicht:
http://www.cidres-security.de/hijackthis.html

Ansonsten einfach "do a systemscan only" waehlen, dann "save log" dieses abspeichern, notepad oder write oeffnen un dann as gespeicherte Log oeffnen, markieren und hier in eine Antwort einfuegen....
__________
MfG Ralf
SEO-Spam Hunter

#5 Ok...hab es mal mit "Öffnen mit..." probiert und nun funktioniert es.

Hab das dann auch gleich mal gespeichert....hoffe ihr könnt mir bei meinem Problem helfen??

Logfile of HijackThis v1.99.1
Scan saved at 19:13:28, on 28.09.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TWAIN_32\SLIMU2\HOTKEY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\DIT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\DITEXP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\HIJTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://d1=0001&id2=0001&id3=00010001&id4=0&id5=0000000001/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\WEBDLG32.DLL
R3 - URLSearchHook: (no name) - {E6169E53-FC98-ED1E-89ED-A4F65378511C} - TemplateDongle.dll (file missing)
R3 - URLSearchHook: (no name) - {24A63E6F-86DC-D635-57E2-15ED3D078469} - MsNetHelper.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\IPREG32.DLL (file missing)
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\WEBDLG32.DLL
O2 - BHO: ActiveX Control - {12CDD460-B7D0-11D9-9397-444553540000} - C:\WINDOWS\SYSTEM\MSWEK.DLL (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O2 - BHO: IE SP2 AddOn - {440996E0-B7D0-11D9-9397-444553540000} - C:\WINDOWS\SYSTEM\SPTDA.DLL (file missing)
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL (file missing)
O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\CERES.DLL
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\WEBDLG32.DLL
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [ALiUSBfix] C:\WINDOWS\SYSTEM\GREENMK.exe
O4 - HKLM\..\Run: [ELSA_VICTORY_II] rundll32.exe C:\WINDOWS\ELSAUTIL\ELSAV23D.dll,VictoryIILoadSettings
O4 - HKLM\..\Run: [loader32] C:\WINDOWS\ANWENDUNGSDATEN\SYSDOWN\SYS22911.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Timer] C:\WINDOWS\comm.exe /i
O4 - HKLM\..\Run: [vmtuner] gclib.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Testimonials] powerdll.exe
O4 - HKLM\..\Run: [browsebar] bhoserv.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mozilla-text] prcmon.exe
O4 - HKLM\..\Run: [msag] Dest068.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [utsgmon] MNTP.exe
O4 - HKCU\..\Run: [dePloy] Serviceprocess.exe
O4 - HKCU\..\Run: [Bogobot] browsebar.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [sysconf16] br0ken.exe
O4 - HKCU\..\Run: [WTFCTF] WhatsNewBot.exe
O4 - HKCU\..\Run: [TemplateDongle] jopplerg.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11212111-2121-1311-1141-115611111222} - :file://d: oo!http://195.95.218.83/users/sale/web/axe/x.chm::/update.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2781a196d7d5af310f05/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.95.218.52,85.255.112.16



Das ist das gespeicherte:o) Ich kann da ja nun nix drauß erkennen

#6

Zitat

Ich kann da ja nun nix drauß erkennen

Ich dagegen kann ne ganze Menge erkennen. Es wäre besser, wenn Du den PC formatierst und Windows neu installierst.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 Hmm...für mich sind das ja nur Zahlen, aber mich würde mal interessieren was das alles zu bedeuten hat. Warum wäre es besser den PC zu formatieren, gibt es da keine Chance so so zu regeln??? Also irgendwas zu löschen etc???

Vielen Dank:o) Katrin153

#8 Ich sage Dir warum:
Allein im HJT-Log finde ich 12 Einträge, die sehr nach Virus aussehen. Außerdem einige Spyware/Malware-Einträge. Die von mir geschätzten 12 Viren sind sicherlich nicht die einzigen 12 Viren, sondern da wird sich eine ganze Menge auf Deiner Festplatte tummeln. Hier ist Hopfen und Malz verloren. Ich bin erstaunt, dass Dein PC überhaupt noch funktioniert.

Du solltest übrigens unverzüglich von einem sauberen PC aus alle Deine Passworte im Internet ändern, da die womöglich schon bei irgendeinem Penner in den USA, Russland oder Timbuktu gelandet sind.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser