Trojaner - Qhosts.apd trojan (werde noch narrisch)

Thema ist geschlossen!
Thema ist geschlossen!
#0
15.08.2004, 21:57
Member

Beiträge: 441
#31 @ iSotr0niC

Nur mal zwei Beispiele:

Backdoor.Agobot.gen =>

Zitat

# Er stellt mithilfe eines eigenen IRC-Clients eine Verbindung zu einem IRC-Server her und wartet dort auf Befehle, um eine oder mehrere der folgenden Aktionen durchzuführen:
* Herunterladen und Ausführen von Dateien
* Stehlen von Systeminformationen
* Weitersenden des Wurms an andere IRC-Benutzer
* Hinzufügen neuer Benutzerkonten
* Durchführen von Denial of Service (DoS)-Angriffen:
# Er versucht, sich auf andere Computer zu verbreiten, indem er zahlreiche Sicherheitslücken ausnutzt.
Er versucht, eine Verbindung zu Netzwerkfreigaben herzustellen. Dazu verwendet er einfach zu erratende Kombinationen von Benutzernamen und
Kennwörtern, einschließlich leerer Kennwörter.
# Er kopiert sich auf alle Computer, die er über die oben genannten Sicherheitslücken angreifen konnte.
# Er plant ferngesteuert einen Task, um den Wurm auf einem neu infizierten Computer auszuführen.
# Er fragt die Registrierung ab, um die CD-Schlüssel von verschiedenen Spielen zu stehlen.
# Er beendet die Prozesse von Virenschutzprogrammen und Firewalls sowie die mit anderen Würmern verbundenen Prozesse.
# Aktuelle Gaobot-Varianten fügen unter Umständen der Datei %System%\drivers\etc\hosts Einträge hinzu, um den Zugriff auf bestimmte Antivirus-Websites zu verhindern
Quelle: http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.hllw.gaobot.gen.html

Zitat

Trojan.Win32.Small.an =>
Die Familie des Trojaner-Downloaders "Small" besteht aus über 370 verschiedenen Varianten (Stand: 28. Juni 2004). Das Hauptmerkmal dieser Downloader besteht in ihrer geringen Größe (von lediglich einigen Kilobyte) sowie in der Fähigkeit, ausführbare Dateien verborgen auf den Rechner des Benutzers herunterzuladen und dort auszuführen.
Viele dieser Downloader werden mit verschiedenen Programmen komprimiert. So verringert sich ihre Größe, und ihr Inhalt bleibt dem Benutzer verborgen. Einige Downloader der "Small"-Familie sind in der Lage, Adware/Spyware und Searchware (Such-Plug-Ins von Drittanbietern) herunterzuladen, andere laden echte Trojaner und Schleusenprogramme herunter. Dies alles geschieht, ohne dass der Benutzer sich dessen bewusst ist, geschweige denn, seine Zustimmung dazu erteilt. Häufig werden solche Downloader über Webseiten, die mit Internet Explorer aufgerufen werden, auf einem Computer abgelegt und dort ausgeführt.
Quelle: http://www.f-secure.de/v-desk/trdlsmal.shtml

Entscheide selbst deine weitere Vorgehensweise, ob du diesen System noch vertrauen kannst.
Ich, an deiner Stelle, würde die sicherste Lösung nehmen und das System neuaufsetzen.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 15.08.2004 um 22:00 Uhr von Cidre editiert.
Seitenanfang Seitenende
16.08.2004, 16:56
...neu hier

Beiträge: 3
#32 so ist es jetzt besser ?


Logfile of HijackThis v1.98.2
Scan saved at 16:56:13, on 16.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVWin\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVWin\AVGUARD.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\CD1\System\Setup.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Tommy Linde\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chat.at/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iamapp] "C:\Programme\Norton Personal Firewall\IAMAPP.EXE"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVWin\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Norton Personal Firewall.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{651B3026-878F-4AB3-9DF2-A5E1BE73601E}: NameServer = 195.58.160.2 195.58.161.3


;)
Seitenanfang Seitenende
16.08.2004, 23:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 @iSotr0niC

#Lade Spybot, um das Problem unter <010< zu loesen.
http://www.safer-networking.org/de/download/index.html

Dann poste das Log noch mal.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.08.2004 um 23:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.08.2004, 17:54
...neu hier

Beiträge: 10
#34 Hallo Ihr Lieben,
ich kämpfe seit gestern auch mit Qhosts.apd, der bei Win2000 bei mir nur mit stinger zwar die Dateien erkannt, aber nie vollständig gelöscht wurde.
Die Datei in WINNT/System32/svchost.exe läßt sich nicht löschen, auch der Prozess läßt sich im Taskmanager nicht beenden.
Im hijack-Protokoll siehts so aus:

Logfile of HijackThis v1.97.7
Scan saved at 17:41:26, on 17.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\UPS\WorldShip\Dbnt25sv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINNT\system32\MSlti64.exe
C:\WINNT\system32\internat.exe
C:\Temp\Security\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(4).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV04.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38215.3241203704
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Was kann ich tun um dieses ding wieder loszuwerden?
lg Kiesel
Seitenanfang Seitenende
17.08.2004, 18:18
Member

Beiträge: 441
#35 Hallo kiesel,

hier findest du die Lösung:
http://www.sophos.de/virusinfo/analyses/w32agobotlz.html

Les danach diese Links aufmerksam durch:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
17.08.2004, 22:55
...neu hier

Beiträge: 10
#36 Hallo Cidre und all ihr anderen
ich habe mit einem tool von F-Prot meine agobot virus bekämpft und bekomme jetzt auch mit stinger oder mwav keine fehlermeldungen mehr. alle Win-Updates sind installiert und ich habe einige Einträge in der regestry entfernt. Mein hijacklog sieht jetzt so aus, meint ihr man kann das jetzt durchgehen lassen?

Logfile of HijackThis v1.98.2
Scan saved at 22:46:26, on 17.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\UPS\WorldShip\Dbnt25sv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\wuauclt.exe
C:\Temp\Security\Antivirprogr\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(4).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV04.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll

Die hijackthis.exe ist jetzt auch die aktuellste:
Danke und lieben gruß
Kiesel
Seitenanfang Seitenende
17.08.2004, 23:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 @kiesel
#aktualisiere den IE
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren...SICHERHEITSRISIKO
Start<Systemsteuerung<Verwaltung<Dienste

#Falls du keinen Router hast, lade Sygate-Firewall
http://smb.sygate.com/products/spf_standard.htm

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.08.2004 um 23:12 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.08.2004, 14:29
...neu hier

Beiträge: 10
#38 hallo noch mal,
ich hatte das selbe Qhost.Problem auf dem zweiten Rechner,
da siehts mit dem hijack-prot nach diversen Säuberungsversuchen nicht ganz so toll aus.
Kann da vieleicht auch mal jemand draufsehen?
Danke schonmal vorweg

Logfile of HijackThis v1.98.2
Scan saved at 13:44:22, on 19.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Trirot.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\Coolspot\Dialer Control\dc.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\FSI\F-Prot\F-StopW.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX01.206\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Trirot] Trirot.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
Seitenanfang Seitenende
19.08.2004, 16:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 @Kiesel

FIXE un dann neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
O4 - HKLM\..\Run: [Trirot] Trirot.exe

neustarten

Ueberpruefe mit kaspersky
C:\WINNT\system32\Trirot.exe
http://www.kaspersky.com/remoteviruschk.html

#Lade eScan (entpacke in C:\bases
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

---Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.
Danach die <Virus Log <Information posten. (ALLES was als <infiziert<gefunden wird)

#Lade AdAware und Search&Destroy
http://www.rokop-security.de/main/article.php?sid=703

#Scanne mit Spysweeper
http://www.spysweeper.com/

#Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren...SICHERHEITSRISIKO
Start<Systemsteuerung<Verwaltung<Dienste



#loesche unter <Internetoptionen< die TemporaryInternetfiles.
Und poste das neue Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.08.2004 um 16:16 Uhr von Sabina editiert.
Seitenanfang Seitenende
20.08.2004, 12:28
...neu hier

Beiträge: 10
#40 So, hab ich jetzt alles gemacht und das log sieht so aus.
Ich hoffe, das system kann freigegeben werden.

Logfile of HijackThis v1.98.2
Scan saved at 11:46:08, on 20.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\Coolspot\Dialer Control\dc.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WinZip\WZQKPICK.EXE
A:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

lieben gruß
Kiesel
Seitenanfang Seitenende
20.08.2004, 14:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 @kiesel

Nein, es ist noch nicht sauber.
Fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm


Gehe in die Registry
Suche den Eintrag unter
HKCU\Software\Microsoft\Internet Explorer\MainSearch Bar =
HKLM\Software\Microsoft\Internet Explorer\MainSearch Bar=

WAS STEHT DA ?????

(geschuetzte Systemdateien sichtbar machen und, alle Dateien anzeigen einstellen)
mit der Suchfunktion von Windows
#Suche mal dll neueren Datums, oder von dem Datum, als du
C:\WINNT\system32\Trirot.exe installiert hattest.
Poste , welche dll neueren Datums du findest.

#Lade AdAware und Search&Destroy
http://www.rokop-security.de/main/article.php?sid=703
#Scanne mit Spysweeper
http://www.spysweeper.com/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 20.08.2004 um 14:23 Uhr von Sabina editiert.
Seitenanfang Seitenende
20.08.2004, 14:26
Member

Beiträge: 48
#42 hallo,

mein 30 Tage-Norton-Test ist abgelaufen, ich war eh nit zufrieden ;).
Jetzt habe geE-scant und das hier gefunden.

File C:\Dokumente und Einstellungen\prolordtx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C9AVCH2F\nethv32_EN_XP[1].cab tagged as not-a-virus:RiskWare.Dialer.E-Group.d. No Action Taken.
File C:\Dokumente und Einstellungen\prolordtx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDUF052V\EGCOMSERVICE_1044_pack_XP[1].cab tagged as not-a-virus:RiskWare.Dialer.E-Group.g. No Action Taken.

MfG
boghog
Seitenanfang Seitenende
20.08.2004, 15:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 Hallo @boghog

Der Dialer muss manuell geloescht werden.

Der Dialer ist laut Bezooka von dieser Gruppe
Vendor
Electronic Group
<http://www.electronic-group.com/index_flash.htm<
........................................................................................................

Gehe in die Registry:
Start<Ausfuehren<regedit
# HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run <<<loesche, falls es existiert<'Instant Access'
# HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ WinTrust \ Trust Providers \ Software Publishing \ Trust Database \ 0'
# loesche rechts, wenn es existiert: 'electronic-group'.

NEUSTARTEN

LOESCHE:
%SystemDir%\EGDHTML_1024.dll
%SystemDir%\EGDial.dll
%SystemDir%\ia.dll
%SystemDir%\mseggrpid.dll
Instant Access.lnk
NoCreditCard.lnk

C:\Dokumente und Einstellungen\prolordtx\Lokale Einstellungen\Temporary Internet
Files\Content.IE5\C9AVCH2F\nethv32_EN_XP[1].cab
C:\Dokumente und Einstellungen\prolordtx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDUF052V\EGCOMSERVICE_1044_pack_XP[1].cab

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 20.08.2004 um 15:06 Uhr von Sabina editiert.
Seitenanfang Seitenende
20.08.2004, 17:27
...neu hier

Beiträge: 10
#44 hallo sabina,
unter HKCU\Software\Microsoft\Internet Explorer\Main\Search Site steht folgendes:
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

unter HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar steht folgendes:
http://home.de.netscape.com/de/home/winsearch200.html

neuere dlls sind folgende (
avcmhk2.dll in C:\Dokumente+Einstellungen/Admin/lokale Einstellg/Temp 04.08.04
engine.dll in C:\Dokumente+Einstellungen/user/lokale Einstellg/Temp 19.08.04
avcmhk2.dll in C:\Dokumente+Einstellungen/user/lokale Einstellg/Temp 04.08.04
avcmhk2.dll in c:\bases

und was sagt dir das?
jetzt scanne ich nochmal
lg Kiesel
Seitenanfang Seitenende
20.08.2004, 23:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 @Kiesel
avcmhk2.dll ist die Update-Basis fuer den eScan.
Die Startseiten sind auch o.k.(in der Registry)

Die Suchleiste von «mysearchbar.com» stammt von dem bekannten Adware-Verbreiter «Lop.com», welcher schon diverse Formen seiner Software im Netz kursieren lässt.

Schau mal bitte, ob du bei den installierten Programmen ein
Systemsteuerung/Software
< Mysearch<
<Lop.com'
<LOP SEARCH'
'<Window Searching'
‘<'Window Active'
"<Browser Enhancer"
"<Ultimate Browser Enhancer" findest.
Wenn ja, deinstalliere es.
....................................................................................

Was steht hier ????
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Domain
# HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP\Domain
# HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Domain
# HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{...check all interfaces...}\Domain
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\
..............................................................
gibt es folgende Eintraege ?

HKCR\Swish BrowserHelper
HKCR\Swish BrowserHelper.1
HKCR\Swish ToolBand
HKEY_LOCAL_MACHINE\Software
* ckotetlllyllshz
* kseateasteestoe
* rhvlveasteafpr
* ssaxstxoaieoagrh
* TrinityAYB (lop/Trinity variant)

und scanne mit ADAware, Spybot (sollte LOP -Spyware entfernen) und Spysweeper.

Und mache den Free-scann mit Pestpatrol (loescht wahrscheinlich nichts, aber poste mir, was angezeigt wurde)
http://www.pestpatrol.com/search/tips.asp


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 20.08.2004 um 23:48 Uhr von Sabina editiert.
Seitenanfang Seitenende