TR\Qhost.AA gefunden, wie entfernen, alles geblockt!?!

#1 Hi, habe ein Problem. Habe mir einen Trojaner eingefangen. Ich habe jetzt auch schonmal hier geguckt, aber konnte mit der einen Lösung die ich gefunden habe nichts anfangen. Ich bin absoluter ANfänger was sowas angeht. Ich habe jetzt versucht mit diversen online-scannern meinen PC mal scannen zu lassen, leider ohne Erfolg. Kann nie auf eine Seite zugreifen (scheint irgendwie geblockt zu werden oder etwas in die Richtung)

Habe auch schon versucht die Killbox zu benutzen, aber irgendwie startet er nicht neu obwohl ich es angeklickt habe und der Trojaner ist immer noch da nach einem Rebbot. dann gibt es noch ein Problem, wenn ich den Pfad angeben möchte um z.B. nur die DAtei scannen zu lassen, existiert der Pfad nicht mehr, obwohl ich den Ordner offen habe.

Wäre super wenn ich nicht alles neuinstallieren müsste und mir jemand eine art Anleitung schreiben könnte für das Problem.
Ich weiß leider nicht was für Informationen hier benötigt werden, aber ich tue was ich kann, selbstverständlich.
Habe nur Antivir Personal free drauf. sonst nichts.

DANKE im voraus !!!!!!!!

Grüße, Thomas

In der Datei 'C:\Windows\System32\drivers\etc\hosts'
wurde ein Virus oder unerwünschtes Programm 'TR/Qhost.AA' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

#2 Hallo

Dann arbeite einmal folgendes ab:
http://board.protecus.de/t23188.htm

Gruss Swiss

#3 danke für die schnelle Antwort. Ich werde jetzt Stück für Stück die Angaben posten. Fangen wir an...


Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1695
Windows 6.0.6001 Service Pack 1

26.01.2009 15:27:57
mbam-log-2009-01-26 (15-27-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 43894
Laufzeit: 1 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




Der Link zu Combofix aus der Anleitung die mir gegeben wurde, enthält leider in der exe einen weiteren Trojaner. Daher hab eich diese Datei gelöscht und nicht weiter ausgeführt. Gibt es eine andere Möglichkeit ? alle anderen Informationen stehen weiter unten!




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:39:19, on 26.01.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Windows\wintask.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\Thomas Zierold\Downloads\HJT\HijackThis.exe
C:\Windows\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [wintask] C:\Windows\wintask.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files (x86)\FileZilla Server\FileZilla Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6977 bytes


uninstall.log:


Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 9 - Deutsch
Alphaload Software 4.1.4
Apple Software Update
AusLogics Disk Defrag
Avira AntiVir Personal - Free Antivirus
Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
Command & Conquer™ Alarmstufe Rot 3
Company of Heroes
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Compatibility Pack for the 2007 Office system
Crysis WARHEAD(R)
Crysis WARHEAD(R)
Crysis(R)
Dead Space™
DivX Codec
DivX Converter
DivX Web Player
Fallout 3
Far Cry 2
FileZilla Server (remove only)
Google Earth
GRID
Hamachi 1.0.3.0
HijackThis 2.0.2
HP Photosmart Essential
HP Update
Java(TM) 6 Update 11
Java(TM) 6 Update 7
Kaspersky Online Scanner
Malwarebytes' Anti-Malware
Microsoft Games for Windows - LIVE Redistributable
Microsoft Office Professional Edition 2003
Microsoft Silverlight
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.5)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
NVIDIA PhysX v8.10.17
OpenAL
PowerDVD
PunkBuster Services
QuickPar 0.9
QuickTime
Realtek High Definition Audio Driver
Replay Media Catcher 3.01
RivaTuner v2.09
SelfHost-My-PC
Skype™ 3.8
Trillian
TuneUp Utilities 2008
VideoLAN VLC media player 0.8.6h
Windows Media Player Firefox Plugin
WinRAR

#4 >>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\Windows\wintask.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O4 - HKLM\..\Run: [wintask] C:\Windows\wintask.exe

und wähle fix checked.

Starte den Rechner neu.

>>
Lade bitte SDfix, wende es im abgesicherten Modus an falls dies mit VIsta 64 geht + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Lade
http://www.funkytoad.com/download/HostsXpert.zip
Press 'Restore Microstoft's Hosts File' and press 'OK'
Exit Program.

>>

Zitat

Der Link zu Combofix aus der Anleitung die mir gegeben wurde, enthält leider in der exe einen weiteren Trojaner

Es handelt sich dabei um das Programm selbst. Du kannst di Virenwarnungen ignorieren und Combofix anwenden.


Gruss Swiss

#5 Danke für den super Support ! Das ist ja wirklich klasse hier, so einen "Service" ist man leider nicht von vielen Foren gewohnt. Also hab die Datei scannen lassen. Ich muss dazu sagen, wenn ich den rechner neustarte, kommt auch immer ein Fenster: Bitte die CD/DVD einlegen... aber es steht nicht wovon. Daneben ist das Icon von diesem "Wintask.exe". Das habe ich erst seit der Trojaner gefunden wurde.


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.26 Worm.Win32.Pushbot!IK
AhnLab-V3 5.0.0.2 2009.01.26 -
AntiVir 7.9.0.60 2009.01.26 TR/PePatch.BQ
Authentium 5.1.0.4 2009.01.26 -
Avast 4.8.1281.0 2009.01.25 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.26 Win32/PEPatch
BitDefender 7.2 2009.01.26 -
CAT-QuickHeal 10.00 2009.01.24 -
ClamAV 0.94.1 2009.01.26 -
Comodo 947 2009.01.26 -
DrWeb 4.44.0.09170 2009.01.26 BackDoor.Poison.61
eSafe 7.0.17.0 2009.01.26 Win32.Packed.PePatch
eTrust-Vet 31.6.6325 2009.01.24 -
F-Prot 4.4.4.56 2009.01.25 -
F-Secure 8.0.14470.0 2009.01.26 Packed.Win32.PePatch.bq
Fortinet 3.117.0.0 2009.01.25 W32/PePatch.BQ
GData 19 2009.01.26 Win32:Trojan-gen {Other}
Ikarus T3.1.1.45.0 2009.01.26 Worm.Win32.Pushbot
K7AntiVirus 7.10.606 2009.01.26 -
Kaspersky 7.0.0.125 2009.01.26 Packed.Win32.PePatch.bq
McAfee 5506 2009.01.25 -
McAfee+Artemis 5506 2009.01.25 Generic!Artemis
Microsoft 1.4205 2009.01.26 VirTool:Win32/DelfInject.gen!T
NOD32 3801 2009.01.26 -
Norman 5.93.01 2009.01.26 -
nProtect 2009.1.8.0 2009.01.26 -
Panda 9.5.1.2 2009.01.26 -
PCTools 4.4.2.0 2009.01.26 -
Prevx1 V2 2009.01.26 -
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.26 Trojan.PePatch.BQ
Sophos 4.37.0 2009.01.26 Mal/EncPk-CH
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.26 -
TheHacker 6.3.1.5.229 2009.01.26 -
TrendMicro 8.700.0.1004 2009.01.26 -
VBA32 3.12.8.11 2009.01.25 Trojan.Win32.Delf.hhl
ViRobot 2009.1.23.1577 2009.01.26 -
VirusBuster 4.5.11.0 2009.01.26 -
weitere Informationen
File size: 1516032 bytes
MD5...: f7bbc3f335d5893dca9b5a8890ba2e65
SHA1..: dde82e98ffa7370254e7ff8780c441f5579d3dd8
SHA256: fa00270f3448cf976380bf7966aeee1010838a1ac7c36467cd9e0b0dcd1ec5e3
SHA512: b1773aee439a2db629ed4346d653de5d166188236b96c1f1ce801390b564f614
7c160e73f22e5d625ba948f26b8c4a85a5a0d26421fbc803244a6fe7142a55b1
ssdeep: 24576:B/kxur+vs5ofqU4eIGA974WiVjeU36TbteRrvY3m5N4/L+nH:ixq2s5YSG
A974WuH3O8EyN4/L+nH
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x407616
timedatestamp.....: 0x49245a94 (Wed Nov 19 18:27:32 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5bb0 0x5c00 6.51 15876b874ab0429b5182fdc49474ae25
.itext 0x7000 0x618 0x800 4.73 ded65356fb5a4122d3c206251c0d6a67
.data 0x8000 0x7f0 0x800 1.37 d759fa8ceff8500ba7d097420bb38450
.bss 0x9000 0x2e2c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xc000 0x6b4 0x800 4.04 657ea2aa89274841c233b58953624e02
.tls 0xd000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xe000 0x18 0x200 0.20 31b800f8e72adb3accb588adb59b6cf3
.reloc 0xf000 0x5d0 0x600 6.55 23a5a03f0e9b39bfb5ed94fc11da10d9
.rsrc 0x10000 0x16a180 0x16a200 7.43 7c89daad3d5c628f5cb986225247d4af

( 7 imports )
> advapi32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey
> user32.dll: GetKeyboardType, MessageBoxA
> kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetSystemInfo, GetVersion, GetCurrentThreadId, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, GetStartupInfoA, GetModuleFileNameW, GetCommandLineW, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle, CloseHandle
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleW
> kernel32.dll: WriteFile, WaitForSingleObject, VirtualProtect, SizeofResource, SetThreadAffinityMask, SetLastError, LockResource, LoadResource, GetVersionExW, GetTempPathA, GetSystemInfo, GetProcAddress, GetModuleHandleW, GetCurrentThread, GetCurrentProcessId, FreeLibrary, FindResourceW, FindFirstFileW, CreateProcessW, CreateFileW, CloseHandle
> advapi32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey
> shell32.dll: SHGetPathFromIDListA, SHGetSpecialFolderLocation

( 0 exports )



SDfix läuft wohl leider auch nicht. Vista ist da recht incooperativ und sowas wie nen Abgesicherten Modus gibt es da wohl nicht. Denke die EIngabeaufforderung erfüllt nicht ihren Sinn.

Gruß!

#6 Diese 64 Bit Systeme

>>
Geht dann Combofix auch net wenn du die Virenwarnungen ignorierst?

>>
Stelle Dein Avira Antivir so ein wie hier beschrieben. Dann scanne und poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm

Grüsschen Swiss