Home » Viren, Trojaner & Malware Forum » TR/Qhost.AA und Internetverlangsamung+smbvhost.exe » Themenansicht

TR/Qhost.AA und Internetverlangsamung+smbvhost.exe
#0
01.05.2006, 19:14
Deavlok
...neu hier

Beiträge: 2
#1 Auch ich habe den Virus TR/Qhost.AA der von Antivir bei jedem Start erkannt wird aber nicht gelöscht wird. Nur konnte n mir die Tipps aus den anderen Threads nicht wirklich weiterhelfen.
Dazu kommt noch, das mein Internet völlig verlangsamt ist und häufig Seiten gar nicht aufgebaut werden. Liegt das vielleicht an dem Virus oder sind da auch Hardware probleme möglich?

Meine Hijacklist Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:15:54, on 01.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\smbvhost.exe
C:\Programme\Save\Save.exe
D:\Programme\phonostar\ps_timer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\Programme\Office\Office\OSA.EXE
D:\Mousometer\mousometer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\iPod\bin\iPodService.exe
E:\HijackThis.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Adobe\Acrobat Reader 5\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Microsoft Internel Corporat ] smbvhost.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Microsoft Internel Corporat ] smbvhost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe
O4 - Startup: Mousometer.lnk = D:\Mousometer\mousometer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = D:\Programme\Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Ich hoffe ihr könnt mir weiterhelfen...
mfg Deavlok
Seitenanfang Seitenende
01.05.2006, 22:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Deavlok

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [Microsoft Internel Corporat ] smbvhost.exe
O4 - HKLM\..\RunServices: [Microsoft Internel Corporat ] smbvhost.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab

PC neustarten

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

4.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2006, 09:31
Deavlok
...neu hier

Themenstarter

Beiträge: 2
#3 Huhu Sabina!
Danke für die schnelle Antwort.
Hab den Cleanup wie oben beschrieben durchgeführt und mit Hijackthis die Malware gefixed.

Hier die kopierten Einträge:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9016-5BFF

Verzeichnis von C:\WINDOWS\system32

02.05.2006 09:24 22.287 FFASTLOG.TXT
01.05.2006 12:59 2.184 wpa.dbl
17.04.2006 12:25 97.677 smbvhost.exe
09.04.2006 20:03 7.006 jupdate-1.5.0_06-b05.log
26.03.2006 03:52 380.486 perfh009.dat
26.03.2006 03:52 391.330 perfh007.dat
26.03.2006 03:52 52.900 perfc009.dat
26.03.2006 03:52 63.778 perfc007.dat
26.03.2006 03:52 897.954 PerfStringBackup.INI
22.02.2006 05:46 256.512 ati2dvag.dll
22.02.2006 05:41 114.688 atipdlxx.dll
22.02.2006 05:40 77.824 Oemdspif.dll
22.02.2006 05:40 26.112 Ati2mdxx.exe
22.02.2006 05:40 40.960 ati2edxx.dll
22.02.2006 05:40 61.440 ati2evxx.dll
22.02.2006 05:39 405.504 ati2evxx.exe
22.02.2006 05:38 53.248 ATIDDC.DLL
22.02.2006 05:30 2.636.672 ati3duag.dll
22.02.2006 05:27 6.684.672 atioglx1.dll
22.02.2006 05:24 860.480 ativvaxx.dll
22.02.2006 05:20 307.200 atiiiexx.dll
22.02.2006 05:11 5.124.096 atioglxx.dll
22.02.2006 05:11 151.552 atikvmag.dll
22.02.2006 05:10 17.408 atitvo32.dll
22.02.2006 05:04 258.048 ati2cqag.dll
22.02.2006 04:21 282.624 ATIDEMGR.dll
21.02.2006 21:05 520.192 ati2sgag.exe



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9016-5BFF

Verzeichnis von C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp

02.05.2006 09:25 16.384 ~DF5E34.tmp
02.05.2006 09:25 512 ~DF57C2.tmp
02.05.2006 09:25 16.384 ~DF57B6.tmp



Verzeichnis von C:\WINDOWS

02.05.2006 09:27 178 mousom.INI
02.05.2006 09:24 0 0.log
02.05.2006 09:24 2.048 bootstat.dat
02.05.2006 09:23 32.640 SchedLgU.Txt
27.04.2006 04:50 145.584 wmsetup.log
14.04.2006 01:35 420 wiadebug.log
13.04.2006 16:37 50 wiaservc.log
13.04.2006 10:44 262.144 outlook.pst
13.04.2006 10:44 52.224 offitems.log
13.04.2006 10:42 894 win.ini
04.04.2006 20:49 23 BlendSettings.ini
30.03.2006 19:17 917.055 setupapi.log
30.03.2006 15:42 430.571 DirectX.log
29.03.2006 15:02 139 msicpl.ini
29.03.2006 15:02 35.082 Windows Update.log
29.03.2006 14:16 10 WININIT.INI
06.03.2006 21:06 173.197 setupact.log
19.02.2006 16:24 1.111 avplay.ini



Verzeichnis von C:\

02.05.2006 09:28 0 sys.txt
02.05.2006 09:28 6.590 system.txt
02.05.2006 09:27 393 systemtemp.txt
02.05.2006 09:26 106.297 system32.txt
02.05.2006 09:24 1.610.612.736 pagefile.sys
25.02.2006 12:16 23.614 ps_system_Zeit.txt


Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.02.2005 15:54 1.271 erma.inf
27.01.2004 18:14 2.299 mp43dmo.inf
08.12.2003 14:58 3.759 swflash.inf
30.06.2003 22:41 1.689 WMV9VCM.inf
Seitenanfang Seitenende
02.05.2006, 10:42
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Deavlok

boote in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)

1.
Gehe in die Registry
Start-Ausfuehren - regedit
bearbeiten - suchen -

Microsoft Internel Corporat
smbvhost.exe

loesche alles, was du davon findest.

2.
loesche unter Windows:

C:\WINDOWS\system32\smbvhost.exe
C:\Programme\Save\

boote wieder in den Normalmodus

----------------------------------------------------------------------

3.
Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab.

----------------------------------------------------------------------------

4.
deaktiviere die Systemwiederherstellung (nach der Reinigung wieder aktivieren)

5.
lade und scanne
ftp://ftp.f-secure.com/anti-virus/tools/f-sdbot.exe

6.
Families Cleaned by the Malicious Software Removal Tool
http://virus-protect.org/antivirenfree.html

7.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1