TR\Qhost.AA gefunden, wie entfernen, alles geblockt!?! |
||
---|---|---|
#0
| ||
26.01.2009, 15:00
...neu hier
Beiträge: 3 |
||
|
||
26.01.2009, 15:12
Moderator
Beiträge: 5694 |
||
|
||
26.01.2009, 15:29
...neu hier
Themenstarter Beiträge: 3 |
#3
danke für die schnelle Antwort. Ich werde jetzt Stück für Stück die Angaben posten. Fangen wir an...
Malwarebytes' Anti-Malware 1.33 Datenbank Version: 1695 Windows 6.0.6001 Service Pack 1 26.01.2009 15:27:57 mbam-log-2009-01-26 (15-27-57).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 43894 Laufzeit: 1 minute(s), 56 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Der Link zu Combofix aus der Anleitung die mir gegeben wurde, enthält leider in der exe einen weiteren Trojaner. Daher hab eich diese Datei gelöscht und nicht weiter ausgeführt. Gibt es eine andere Möglichkeit ? alle anderen Informationen stehen weiter unten! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:39:19, on 26.01.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files (x86)\Java\jre6\bin\jusched.exe C:\Windows\wintask.exe C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Users\Thomas Zierold\Downloads\HJT\HijackThis.exe C:\Windows\SysWOW64\DllHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [wintask] C:\Windows\wintask.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing) O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files (x86)\FileZilla Server\FileZilla Server.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 6977 bytes uninstall.log: Adobe Flash Player 10 Plugin Adobe Flash Player ActiveX Adobe Reader 9 - Deutsch Alphaload Software 4.1.4 Apple Software Update AusLogics Disk Defrag Avira AntiVir Personal - Free Antivirus Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch Command & Conquer™ Alarmstufe Rot 3 Company of Heroes Company of Heroes - FAKEMSI Company of Heroes - FAKEMSI Company of Heroes - FAKEMSI Company of Heroes - FAKEMSI Company of Heroes - FAKEMSI Company of Heroes - FAKEMSI Company of Heroes - FAKEMSI Company of Heroes - FAKEMSI Company of Heroes - FAKEMSI Company of Heroes - FAKEMSI Company of Heroes - FAKEMSI Company of Heroes - FAKEMSI Company of Heroes - FAKEMSI Company of Heroes - FAKEMSI Compatibility Pack for the 2007 Office system Crysis WARHEAD(R) Crysis WARHEAD(R) Crysis(R) Dead Space™ DivX Codec DivX Converter DivX Web Player Fallout 3 Far Cry 2 FileZilla Server (remove only) Google Earth GRID Hamachi 1.0.3.0 HijackThis 2.0.2 HP Photosmart Essential HP Update Java(TM) 6 Update 11 Java(TM) 6 Update 7 Kaspersky Online Scanner Malwarebytes' Anti-Malware Microsoft Games for Windows - LIVE Redistributable Microsoft Office Professional Edition 2003 Microsoft Silverlight Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2005 Redistributable Mozilla Firefox (3.0.5) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB941833) MSXML 4.0 SP2 (KB954430) NVIDIA PhysX v8.10.17 OpenAL PowerDVD PunkBuster Services QuickPar 0.9 QuickTime Realtek High Definition Audio Driver Replay Media Catcher 3.01 RivaTuner v2.09 SelfHost-My-PC Skype™ 3.8 Trillian TuneUp Utilities 2008 VideoLAN VLC media player 0.8.6h Windows Media Player Firefox Plugin WinRAR Dieser Beitrag wurde am 26.01.2009 um 15:49 Uhr von TundZ85 editiert.
|
|
|
||
26.01.2009, 15:56
Moderator
Beiträge: 5694 |
#4
>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: C:\Windows\wintask.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat O4 - HKLM\..\Run: [wintask] C:\Windows\wintask.exeund wähle fix checked. Starte den Rechner neu. >> Lade bitte SDfix, wende es im abgesicherten Modus an falls dies mit VIsta 64 geht + poste hier den Report, der nach Neustart erscheint http://virus-protect.org/artikel/tools/sdfix.html >> Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint http://virus-protect.org/artikel/tools/sdfix.html >> Lade http://www.funkytoad.com/download/HostsXpert.zip Press 'Restore Microstoft's Hosts File' and press 'OK' Exit Program. >> Zitat Der Link zu Combofix aus der Anleitung die mir gegeben wurde, enthält leider in der exe einen weiteren TrojanerEs handelt sich dabei um das Programm selbst. Du kannst di Virenwarnungen ignorieren und Combofix anwenden. Gruss Swiss |
|
|
||
26.01.2009, 16:11
...neu hier
Themenstarter Beiträge: 3 |
#5
Danke für den super Support ! Das ist ja wirklich klasse hier, so einen "Service" ist man leider nicht von vielen Foren gewohnt. Also hab die Datei scannen lassen. Ich muss dazu sagen, wenn ich den rechner neustarte, kommt auch immer ein Fenster: Bitte die CD/DVD einlegen... aber es steht nicht wovon. Daneben ist das Icon von diesem "Wintask.exe". Das habe ich erst seit der Trojaner gefunden wurde.
Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.73 2009.01.26 Worm.Win32.Pushbot!IK AhnLab-V3 5.0.0.2 2009.01.26 - AntiVir 7.9.0.60 2009.01.26 TR/PePatch.BQ Authentium 5.1.0.4 2009.01.26 - Avast 4.8.1281.0 2009.01.25 Win32:Trojan-gen {Other} AVG 8.0.0.229 2009.01.26 Win32/PEPatch BitDefender 7.2 2009.01.26 - CAT-QuickHeal 10.00 2009.01.24 - ClamAV 0.94.1 2009.01.26 - Comodo 947 2009.01.26 - DrWeb 4.44.0.09170 2009.01.26 BackDoor.Poison.61 eSafe 7.0.17.0 2009.01.26 Win32.Packed.PePatch eTrust-Vet 31.6.6325 2009.01.24 - F-Prot 4.4.4.56 2009.01.25 - F-Secure 8.0.14470.0 2009.01.26 Packed.Win32.PePatch.bq Fortinet 3.117.0.0 2009.01.25 W32/PePatch.BQ GData 19 2009.01.26 Win32:Trojan-gen {Other} Ikarus T3.1.1.45.0 2009.01.26 Worm.Win32.Pushbot K7AntiVirus 7.10.606 2009.01.26 - Kaspersky 7.0.0.125 2009.01.26 Packed.Win32.PePatch.bq McAfee 5506 2009.01.25 - McAfee+Artemis 5506 2009.01.25 Generic!Artemis Microsoft 1.4205 2009.01.26 VirTool:Win32/DelfInject.gen!T NOD32 3801 2009.01.26 - Norman 5.93.01 2009.01.26 - nProtect 2009.1.8.0 2009.01.26 - Panda 9.5.1.2 2009.01.26 - PCTools 4.4.2.0 2009.01.26 - Prevx1 V2 2009.01.26 - Rising 21.13.42.00 2009.01.23 - SecureWeb-Gateway 6.7.6 2009.01.26 Trojan.PePatch.BQ Sophos 4.37.0 2009.01.26 Mal/EncPk-CH Sunbelt 3.2.1835.2 2009.01.16 - Symantec 10 2009.01.26 - TheHacker 6.3.1.5.229 2009.01.26 - TrendMicro 8.700.0.1004 2009.01.26 - VBA32 3.12.8.11 2009.01.25 Trojan.Win32.Delf.hhl ViRobot 2009.1.23.1577 2009.01.26 - VirusBuster 4.5.11.0 2009.01.26 - weitere Informationen File size: 1516032 bytes MD5...: f7bbc3f335d5893dca9b5a8890ba2e65 SHA1..: dde82e98ffa7370254e7ff8780c441f5579d3dd8 SHA256: fa00270f3448cf976380bf7966aeee1010838a1ac7c36467cd9e0b0dcd1ec5e3 SHA512: b1773aee439a2db629ed4346d653de5d166188236b96c1f1ce801390b564f614 7c160e73f22e5d625ba948f26b8c4a85a5a0d26421fbc803244a6fe7142a55b1 ssdeep: 24576:B/kxur+vs5ofqU4eIGA974WiVjeU36TbteRrvY3m5N4/L+nH:ixq2s5YSG A974WuH3O8EyN4/L+nH PEiD..: - TrID..: File type identification Win32 Executable Generic (58.3%) Win16/32 Executable Delphi generic (14.1%) Generic Win/DOS Executable (13.7%) DOS Executable Generic (13.6%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x407616 timedatestamp.....: 0x49245a94 (Wed Nov 19 18:27:32 2008) machinetype.......: 0x14c (I386) ( 9 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5bb0 0x5c00 6.51 15876b874ab0429b5182fdc49474ae25 .itext 0x7000 0x618 0x800 4.73 ded65356fb5a4122d3c206251c0d6a67 .data 0x8000 0x7f0 0x800 1.37 d759fa8ceff8500ba7d097420bb38450 .bss 0x9000 0x2e2c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0xc000 0x6b4 0x800 4.04 657ea2aa89274841c233b58953624e02 .tls 0xd000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0xe000 0x18 0x200 0.20 31b800f8e72adb3accb588adb59b6cf3 .reloc 0xf000 0x5d0 0x600 6.55 23a5a03f0e9b39bfb5ed94fc11da10d9 .rsrc 0x10000 0x16a180 0x16a200 7.43 7c89daad3d5c628f5cb986225247d4af ( 7 imports ) > advapi32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey > user32.dll: GetKeyboardType, MessageBoxA > kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetSystemInfo, GetVersion, GetCurrentThreadId, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, GetStartupInfoA, GetModuleFileNameW, GetCommandLineW, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle, CloseHandle > kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleW > kernel32.dll: WriteFile, WaitForSingleObject, VirtualProtect, SizeofResource, SetThreadAffinityMask, SetLastError, LockResource, LoadResource, GetVersionExW, GetTempPathA, GetSystemInfo, GetProcAddress, GetModuleHandleW, GetCurrentThread, GetCurrentProcessId, FreeLibrary, FindResourceW, FindFirstFileW, CreateProcessW, CreateFileW, CloseHandle > advapi32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey > shell32.dll: SHGetPathFromIDListA, SHGetSpecialFolderLocation ( 0 exports ) SDfix läuft wohl leider auch nicht. Vista ist da recht incooperativ und sowas wie nen Abgesicherten Modus gibt es da wohl nicht. Denke die EIngabeaufforderung erfüllt nicht ihren Sinn. Gruß! |
|
|
||
26.01.2009, 19:15
Moderator
Beiträge: 5694 |
#6
Diese 64 Bit Systeme
>> Geht dann Combofix auch net wenn du die Virenwarnungen ignorierst? >> Stelle Dein Avira Antivir so ein wie hier beschrieben. Dann scanne und poste das Log. (Nach dem scanen, Einstellungen wieder zurücksetzen) http://board.protecus.de/t23979.htm Grüsschen Swiss |
|
|
||
Habe auch schon versucht die Killbox zu benutzen, aber irgendwie startet er nicht neu obwohl ich es angeklickt habe und der Trojaner ist immer noch da nach einem Rebbot. dann gibt es noch ein Problem, wenn ich den Pfad angeben möchte um z.B. nur die DAtei scannen zu lassen, existiert der Pfad nicht mehr, obwohl ich den Ordner offen habe.
Wäre super wenn ich nicht alles neuinstallieren müsste und mir jemand eine art Anleitung schreiben könnte für das Problem.
Ich weiß leider nicht was für Informationen hier benötigt werden, aber ich tue was ich kann, selbstverständlich.
Habe nur Antivir Personal free drauf. sonst nichts.
DANKE im voraus !!!!!!!!
Grüße, Thomas
In der Datei 'C:\Windows\System32\drivers\etc\hosts'
wurde ein Virus oder unerwünschtes Programm 'TR/Qhost.AA' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen