Trojaner - Qhosts.apd trojan (werde noch narrisch)

Thema ist geschlossen!
Thema ist geschlossen!
#0
14.07.2004, 13:56
...neu hier

Beiträge: 7
#16 hat sich,glaub i,nix geändert. hab da noch ein problem : wenn ich mein windows updaten will, dann bekomm ich von microsoft folgende seite:

http://v5.windowsupdate.microsoft.com/v5Consumer/thanks.aspx?ln=de&thankspage=2

"Vielen Dank für Ihr Interesse an Windows Update

Windows Update ist die Onlineerweiterung von Microsoft Windows, die dabei hilft, den Computer optimal zu nutzen.

Es muss ein Microsoft Windows-Betriebssystem ausgeführt werden, um Windows Update zu verwenden. Updates für Microsoft-Produkte für Macintosh-Betriebssysteme finden Sie unter http://www.microsoft.com/mac/."

hängt das vielleicht auch damit zusammen?

Logfile of HijackThis v1.98.0
Scan saved at 13:51:30, on 14.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\usrbridg.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\mHotkey.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe
C:\WINNT\system32\internat.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\~AceTemp\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onvista.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.onvista.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e81574a9-bd71-46d7-a379-07ba054d1c03} - (no file)
O15 - Trusted Zone: www.microsoft.de
Seitenanfang Seitenende
14.07.2004, 14:08
Member

Beiträge: 1095
#17

Zitat

NK187 postete
hat sich,glaub i,nix geändert. hab da noch ein problem : wenn ich mein windows updaten will, dann bekomm ich von microsoft folgende seite:

http://v5.windowsupdate.microsoft.com/v5Consumer/thanks.aspx?ln=de&thankspage=2

"Vielen Dank für Ihr Interesse an Windows Update

Windows Update ist die Onlineerweiterung von Microsoft Windows, die dabei hilft, den Computer optimal zu nutzen.

Es muss ein Microsoft Windows-Betriebssystem ausgeführt werden, um Windows Update zu verwenden. Updates für Microsoft-Produkte für Macintosh-Betriebssysteme finden Sie unter http://www.microsoft.com/mac/."

Benutzt du eine Emulation auf Mac oder bist du NICHT mit dem IE hingesurft?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
14.07.2004, 14:12
...neu hier

Beiträge: 7
#18 nee, bin scho mit ie hingesurft. was ist denn eine emulation auf mac? hab aber mit mac eigentlich gar nix am hut. wg. ie : hatte mal den firefox drauf, aber den hab i deinstalliert.
Seitenanfang Seitenende
14.07.2004, 14:37
Member

Beiträge: 1095
#19 @NK187

Vielleicht mußt du im IE wiedre ActiveX und ActiveScripting erlauben

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
14.07.2004, 16:16
...neu hier

Beiträge: 7
#20 da hab ich standardeinstellung gewählt,also nix außergewöhnliches... ist sehr komisch,weil das automatische update meist funktioniert.
Seitenanfang Seitenende
19.07.2004, 17:04
...neu hier

Beiträge: 4
#21 Hallo bin jetzt in den abgesicherten Modus gekommen. Folgendes sagt HIjeck This:

Logfile of HijackThis v1.97.7
Scan saved at 16:56:51, on 19.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Sascha\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [msvsrv32] msvsrv32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [zierd32] C:\WINDOWS\System32\kolder.exe C:\WINDOWS\System32\dirote.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ChkMail] C:\Progra~1\Launch Manager\ChkMail.exe
O4 - HKLM\..\Run: [LexPPS.exe] C:\WINDOWS\System32\lexpps.exe
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\RunServices: [msvsrv32] msvsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ChkMail] À@‹
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB


Zwischenzeitlich wurde mir folge3nde Datei genannt die runterladen soll:

www.symantec.com/avcenter/fixqhost.exe

aber ich kann symantex gar nicht mehr öffnen.....
Und was ist jetzt falsch??? Vielen Danke für die HIlfe.
Seitenanfang Seitenende
19.07.2004, 17:21
Member

Beiträge: 1095
#22 @Sascha
Bitte geh in den Abgesicherten Modus

Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken)
O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\Run: [msvsrv32] msvsrv32.exe
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\RunServices: [msvsrv32] msvsrv32.exe
O4 - HKCU\..\Run: [Microsofts Updates] wuamgrd.exe

Normal starten und nochmal Logfile posten

Besorg dir einen Virenscanner
www.freeav.de
und scan die Platte!!!!!!!!!!!!

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 19.07.2004 um 19:51 Uhr von paff editiert.
Seitenanfang Seitenende
19.07.2004, 18:31
...neu hier

Beiträge: 4
#23 Logfile of HijackThis v1.97.7
Scan saved at 18:28:02, on 19.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Sascha\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [zierd32] C:\WINDOWS\System32\kolder.exe C:\WINDOWS\System32\dirote.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ChkMail] C:\Progra~1\Launch Manager\ChkMail.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ChkMail] À@‹
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

so was sagt euch das jetzt???? Kann ich jetzt wieder norton antivirus nutzen und es instalieren???
Seitenanfang Seitenende
09.08.2004, 23:42
...neu hier

Beiträge: 1
#24

Zitat

paff postete
@NK187

Das sieht besser aus. Poste bitte das nächstemal das ganze Logfile damit man sieht welches Windows du hast.

Lass mal bitte den hier noch laufen
http://www.rokop-security.de/board/index.php?showtopic=3867

Gruß paff
Seitenanfang Seitenende
10.08.2004, 08:59
Member

Beiträge: 1095
#25 @Rooster

Und Jetzt???????

Was will uns der Autor damit sagen?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
15.08.2004, 18:53
...neu hier

Beiträge: 3
#26 Hab auch das problem was soll ich löschen ?



Logfile of HijackThis v1.98.2
Scan saved at 18:49:28, on 08/15/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wincore332.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\blss\blss.exe
C:\Program Files\BTV\btv.exe
C:\Programme\AVWin\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\PANICW~1\POP-UP~1\POPUPS~1.EXE
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\AVWin\AVGUARD.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Tommy\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chat.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.zestyfind.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [wincx] wincore332.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [blss] C:\Programme\blss\blss.exe
O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVWin\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min
O4 - HKLM\..\RunServices: [wincx] wincore332.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min
O4 - HKCU\..\Run: [PopUpStopperProfessional] "C:\PROGRA~1\PANICW~1\POP-UP~1\POPUPS~1.EXE"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://download-ak.systemsoap.com/ssoap/pptproactauthsmakamai/systemsoappro.cab
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/BM2/BM2.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.download-url.de/StarInstall.ocx
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSECS.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/SSWebInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{429B806F-5676-453B-BFEE-3F33270E82DD}: NameServer = 195.58.160.2 195.58.161.3




O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
hm mein Internet suckt alle 30 Minuten ab und ohne neustart kann ich nix mehr machen kann es an nem Trojaner liegen ?
Dieser Beitrag wurde am 15.08.2004 um 18:56 Uhr von iSotr0niC editiert.
Seitenanfang Seitenende
15.08.2004, 19:05
Member

Beiträge: 441
#27 @ iSotr0niC

Überprüfe zunächst diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis:

C:\WINDOWS\System32\wincore332.exe
C:\Programme\blss\blss.exe
C:\Program Files\BTV\btv.exe
C:\Program Files\Common Files\Java\breg.exe
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
15.08.2004, 19:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 @Sascha Plath

Fixe das
O4 - HKLM\..\Run: [zierd32] C:\WINDOWS\System32\kolder.exe C:\WINDOWS\System32\dirote.exe
O4 - HKCU\..\Run: [ChkMail] À@‹................Troj/Chkmail-A(!)
O4 - HKLM\..\Run: [ChkMail] C:\Progra~1\Launch Manager\ChkMail.exe
O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\Run: [msvsrv32] msvsrv32.exe
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\RunServices: [msvsrv32] msvsrv32.exe
O4 - HKCU\..\Run: [Microsofts Updates] wuamgrd.exe

NEUSTARTEN

und ueberpruefe es mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\System32\kolder.exe
C:\WINDOWS\System32\dirote.exe

und scanne mit einem Antivirus
im abgesicherten Modus

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.08.2004 um 19:49 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.08.2004, 19:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 @iSotr0niC


#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.zestyfind.com/
O4 - HKLM\..\Run: [wincx] wincore332.exe
O4 - HKLM\..\Run: [blss] C:\Programme\blss\blss.exe
O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe
O4 - HKLM\..\RunServices: [wincx] wincore332.exe
O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Wenn du nicht weisst, was das ist:fixe ebenfalls:
Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden.
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/BM2/BM2.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} -
DIALER;)!)
http://install.download-url.de/StarInstall.ocx
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSECS.cab


neustarten


#ueberpruefe mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\System32\wincore332.exe
C:\Programme\blss\blss.exe
C:\Program Files\BTV\btv.exe
C:\Program Files\Common Files\Java\breg.exe

#Lade <eScan< und in C:\base entpacken
http://www.mwti.net/antivirus/free_utilities.asp
# "kavupd.exe" suchen und anklicken.
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken.
(Poste dann bitte, was der Scanner als <infiziert< angibt.

#Lade AdAware (free) scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Optimiere\reinige\reapriere mit TuneUp (30 Tage free)
http://www.tuneup.de/download/

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

Dann poste das Log noch mal (und die Infos von Kaspersky und eScan)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.08.2004 um 20:08 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.08.2004, 20:56
...neu hier

Beiträge: 3
#30 Zu überprüfende Datei: wincore332.exe

wincore332.exe - packed with Morphine
wincore332.exe - packed with ASPack
wincore332.exe Infiziert: Backdoor.Agobot.gen


Statistiken:
Bekannte Viren: 96293 Updated: 15-08-2004
Größe der Datei (Kb): 95 Viren-Korpus: 1
Datei: 3 Warnungen: 0
Archive: 0 Verdächtigt: 0


-------------------------------------------------------

Zu überprüfende Datei: blss.exe

blss.exe Infiziert: Backdoor.Blarul.a


Statistiken:
Bekannte Viren: 96293 Updated: 15-08-2004
Größe der Datei (Kb): 36 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

-------------------------------------------------------

u überprüfende Datei: btv.exe

btv.exe Infiziert: TrojanDownloader.Win32.RVP.e


Statistiken:
Bekannte Viren: 96293 Updated: 15-08-2004
Größe der Datei (Kb): 116 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

--------------------------------------------------------

Zu überprüfende Datei: breg.exe

breg.exe Infiziert: Trojan.Win32.Small.an


Statistiken:
Bekannte Viren: 96293 Updated: 15-08-2004
Größe der Datei (Kb): 56 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0
Seitenanfang Seitenende