Home » Viren, Trojaner & Malware Forum » Qhosts.apd!!! Wie krieg ich den Trojaner wieder los? » Themenansicht

Qhosts.apd!!! Wie krieg ich den Trojaner wieder los?
#0
08.05.2004, 21:44
Peter_MS
...neu hier

Beiträge: 7
#1 Hallo ich hab schon seit einiger Zeit jetzt Pobleme mit einem Trojaner Namens Qhosts.apd! Da er von meinem Antivirenprogramm (AVG) nicht entdeckt wurde hab ich mich mir Stinger von McAfee runtergeladen und der hat das Teil dann gefunden (unter dem Namen Qhosts.apd). Unter c:\windows\system32\drivers\etc\hosts! Diese Datei vernichtet er zwar ... nur findet er sie beim nächsten Durchlauf immer wieder!! Also was mach ich damit das Ding verschwindet?
Es wirkt sich in der Form aus, dass ich große Schwierigkeiten beim Aufrufen von Internetseiten hab (Downloads gehen teilweise gar nicht mehr)! Er ist wohl sehr aktiv und hat eben wieder in der letzten halben Stunde 50.000.000 Bytes gesendet (kommen daher die Probleme mit meinem Internetexplorer??)
Vielleicht kann mir ja irgendwer weiter helfen!! Schon mal vielen Dank im voraus!
Nur noch ein kurzer Anhang vielleicht hilft euch das ja weiter! :
Ich hab insgesamt 5 Prozesse unter dem Namen svchost.exe laufen!
Kenn mich zwar nicht aus, aber 5 sind doch nicht normal, oder?
Vlg Peter
Dieser Beitrag wurde am 08.05.2004 um 22:03 Uhr von Peter_MS editiert.
Seitenanfang Seitenende
08.05.2004, 23:17
Rolfs
Member

Beiträge: 239
#2 Hallo, versuch es mal mit dem Tool
TrojanHunter
Gruß
Rolfs
Seitenanfang Seitenende
09.05.2004, 14:03
Peter_MS
...neu hier

Themenstarter

Beiträge: 7
#3 Hi Rolfs!
Danke für den Tipp mit dem TrojanHunter! Er hat zwar den Qhosts.apd nicht gefunden (vielleicht ist ja die Probeversion nicht die aktuellste!??), dafür einen anderen, den er dann gelöscht hat! Gibts eine Möglichkeit die Testversion zu aktualisieren oder muss ich die kaufen?
Herzlichen Dank
Dieser Beitrag wurde am 09.05.2004 um 20:58 Uhr von Peter_MS editiert.
Seitenanfang Seitenende
09.05.2004, 14:05
Dafra
Member
Avatar Dafra

Beiträge: 1122
#4 1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich )
2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich )
3,)Scanne deinen Rechner. (auch mal mit Ad-aware)


MFG
DAFRA
Seitenanfang Seitenende
09.05.2004, 14:08
Peter_MS
...neu hier

Themenstarter

Beiträge: 7
#5 Hi Dafra,
Systemwiederherstellung hab ich schon deaktiviert, und Rechner schon ein paar mal im abgesichertem Modus gescannt!
Welches Programm soll ich da hernehmen?

VLG Peter
Seitenanfang Seitenende
09.05.2004, 14:12
Dafra
Member
Avatar Dafra

Beiträge: 1122
#6 Probier mal Anti Vir, du hast so viel Zeugs drauf, das müsste was finden.
www.free-av.de
Also im Abgeuscerten Modus scannen, dann ein neues Log posten.
MFG
DAFRA
Seitenanfang Seitenende
09.05.2004, 14:38
Peter_MS
...neu hier

Themenstarter

Beiträge: 7
#7 Hallo Dafra,

ich hab jetzt nochmal das AntiVir-Programm im abges. Modus durchlaufen lassen .... ohne Ergebnis! Dafür war dein Tipp mit ad-aware umso hilfreicher!! Das Programm hat an die 20 verschiedenste Viren, Würmer, Trojaner oder was weiß ich noch alles entdeckt und vernichtet! Danke!!! Allerdings hat der McAfee Stinger beim Durchlauf den Qhosts.apd immer noch entdeckt! Und obwohl mein Internet Explorer schon weit aus besser, hab ich das Gefühl dass noch einiges rumläuft!

vlg Peter
Dieser Beitrag wurde am 09.05.2004 um 20:58 Uhr von Peter_MS editiert.
Seitenanfang Seitenende
09.05.2004, 18:26
pzbbk1
...neu hier

Beiträge: 6
#8 Hallo,

versuchs mal mit Spybot Search & Destroy 1.3. Ist ein Freeware-Tool und findet jede Menge unerwünschte Software.


Schöne Grüße

PZBBK1
Seitenanfang Seitenende
09.05.2004, 21:01
Peter_MS
...neu hier

Themenstarter

Beiträge: 7
#9 Hallo,
danke für den Tipp mit Spybot, der hat auch wieder was neues aufgespürt! Aber gibts den kein Programm mit dem ich zu 100% alle Viren, Trojaner usw. löschen kann?
Ich poste jetzt nochmal den letzten Log aus dem abges. Modus! Vielleicht könnt ihr ja was damit anfangen:

Logfile of HijackThis v1.97.7
Scan saved at 20:50:48, on 09.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\My Shared Folder\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [RDLL] RunDll16.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Typhoon\Notebook Mouse\5.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [System Updater Process] wmiprvsw.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [AVG7_RegCleaner] C:\PROGRA~1\Grisoft\AVG7\avgregcl.exe /BOOT
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.8\THGuard.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RDLL] RunDll16.exe
O4 - HKLM\..\RunServices: [System Updater Process] wmiprvsw.exe
O4 - HKCU\..\Run: [ChkMail] p<‹
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKCU\..\Run: [ZDF.nachrichtenkurier] C:\Programme\ZDFnachrichtenkurier\messenger.exe
O4 - HKCU\..\Run: [YAW Autostart] "C:\Programme\YAW\yaw.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: TREND MICRO HouseCall (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ich wär euch echt dankbar, wenn ich wüßte was ich noch versuchen kann!
Danke schon mal im Voraus!!
Lg Peter
Seitenanfang Seitenende
09.05.2004, 21:09
raman
Moderator

Beiträge: 7805
#10 Folgende Sachen solltest du fixen:

O4 - HKLM\..\Run: [RDLL] RunDll16.exe
O4 - HKLM\..\Run: [System Updater Process] wmiprvsw.exe
O4 - HKLM\..\RunServices: [RDLL] RunDll16.exe
O4 - HKLM\..\RunServices: [System Updater Process] wmiprvsw.exe
O4 - HKCU\..\Run: [ChkMail] p<‹

Schicke bitte folgende Dateien an virus@protecus.de (oder virus durch raman ersetzen):
rundll16.exe und wmiprvsw.exe (sie sind entweder im System32 oder Windows Ordner)

Auch solltest du dich fuer ein AV-Programm Guard entscheiden. Meiner Meinung waere Antivir die bessere Wahl. Du darfst natuerlich die anderen Scanner benutzen, nur sollten sie nicht beim Start geladen werden.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.05.2004, 21:15
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm

Lade mwav.exe, scanne und loesche dann manuell alles , was er dir als "bad" anzeigt.
Denn die RunDll16.exe und wmiprvsw.exe muessen aus dem System und der Registry !!!!
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.05.2004 um 21:17 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.05.2004, 22:10
Peter_MS
...neu hier

Themenstarter

Beiträge: 7
#12 Hi Raman,
ich hab die runDll16.exe und die wmiprvsw.exe gefixt! Muss ich da sonst nichts mehr machen?
@ Sabina:
Das einzige was da unter Virus Log Information auftaucht ist:
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken.
was soll ich damit machen?
Mfg Peter
Seitenanfang Seitenende
09.05.2004, 22:29
raman
Moderator

Beiträge: 7805
#13 Du meinst, ausser sie Einzuschicken? ;) Ja, du musst diese Dateien auch noch loeschen. Einschicken waere deshalb wichtig, da sie anscheinend von keinem AV-Programm erkannt wird. Man sollte zumindest schauen, ob es wirklich harmlose Dateien sind.

Das htpatch tool wuerde ich installiert lassen. Sie gehoeren zum SIS Chipsatz.

Laeuft der Rechner denn jetzt wieder akzeptabel?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.05.2004, 23:08
Peter_MS
...neu hier

Themenstarter

Beiträge: 7
#14 Hallo Raman,

also der Rechner läuft wieder einigermaßen und ich werd das Dingens noch löschen ;)! Ich habs dir schon geschickt, viel Spass damit!!

Nochmals vielen Dank!
vlg Peter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1