Home » Viren, Trojaner & Malware Forum » Trojaner - Qhosts.apd trojan (werde noch narrisch) » Themenansicht

Trojaner - Qhosts.apd trojan (werde noch narrisch)

Thema ist geschlossen!
Thema ist geschlossen!
#0
14.09.2004, 15:09
Deo_MC
...neu hier

Beiträge: 3
#61 Hi@all
ich hab auch das problem mit dem qhosts.apd trojan.
Hab stinger durchlaufen lassen...
der findet immer den gleichen:

[b]McAfee AVERT Stinger Version 2.3.0.0 built on Jul 5 2004

Copyright (C) 2004 McAfee, Inc. All Rights Reserved.

Virus data file v1000 created on Jul 5 2004.

Ready to scan for 44 viruses, trojans and variants.



Scan initiated on Tue Sep 14 14:51:53 2004

C:\WINDOWS\system32\drivers\etc\hosts

Found the Qhosts.apd trojan !!!

C:\WINDOWS\system32\drivers\etc\hosts has been deleted.

Number of clean files: 308

Number of Trojans: 1

Number of files deleted: 1[b]

Wenn ich den pc dann neu starte und nochmal durchlaufen lasse kommt das gleiche...
Mein taskmanager, mein Hijackthis und mein antiviren-programm (McAffee) gehen auch nicht mehr.
Im abgesicherten modus fand mein anti-virusprogramm nichts.

Mein HijackthisLog:

Logfile of HijackThis v1.97.7
Scan saved at 14:59:19, on 14.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe //ICWLaunch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Desktop Dingsbums\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\CloneCD\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Outlook Express Config] vtskf.exe
O4 - HKLM\..\Run: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe"
O4 - HKLM\..\Run: [restrictanonymous] 
O4 - HKLM\..\RunServices: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe"
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Outlook Express Config] vtskf.exe
O4 - HKLM\..\RunServices: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe"
O4 - HKCU\..\Run: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe"
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [Dexpot 1.2] C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Desktop Dingsbums\Dexpot\Dexpot.exe
O4 - HKCU\..\Run: [Outlook Express Config] vtskf.exe
O4 - HKCU\..\Run: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe"
O4 - HKCU\..\RunServices: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe"
O4 - HKCU\..\RunServices: [Outlook Express Config] vtskf.exe
O4 - HKCU\..\RunServices: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe"
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCDBA598-6A6A-441C-AFF2-4B574C50DEFF}: NameServer = 62.53.221.51 193.189.244.205



Ich hoffe mir kann jemand helfen.
Danke schon mal im Voraus.
mfg Deo_MC
Dieser Beitrag wurde am 14.09.2004 um 15:15 Uhr von Deo_MC editiert.
Seitenanfang Seitenende
14.09.2004, 15:21
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#62 Hallo @ Deo_MC
Dein PC ist voellig verseucht...du solltest ueber eine Neuinstallation nachdenken.
UND VOR ALLEM DIE WINDOWSUPDATES MACHEN !!!!!!!!!!!

Neuinstallation XP
http://8ung.at/chemikers-home/SETUP.html

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/windows-xp-firewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
http://www.firebird-browser.de/
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
http://www.free-av.de/
10) alle Passworte aendern

...............................................................................................................

1.Wiederherstellung deaktivieren
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

2.Fixe mit dem HijackThis;)dann sofort neustarten)

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe //ICWLaunch
O4 - HKLM\..\Run: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe"
O4 - HKLM\..\Run: [Outlook Express Config] vtskf.exe
O4 - HKLM\..\Run: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe"
O4 - HKLM\..\Run: [restrictanonymous] 
O4 - HKLM\..\RunServices: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe"
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Outlook Express Config] vtskf.exe
O4 - HKLM\..\RunServices: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe"
O4 - HKCU\..\Run: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe"
O4 - HKCU\..\Run: [Dexpot 1.2] C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Desktop Dingsbums\Dexpot\Dexpot.exe
O4 - HKCU\..\Run: [Outlook Express Config] vtskf.exe
O4 - HKCU\..\Run: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe"
O4 - HKCU\..\RunServices: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe"
O4 - HKCU\..\RunServices: [Outlook Express Config] vtskf.exe
O4 - HKCU\..\RunServices: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe"

dialer:
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab

neustarten

3.Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
#Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

4.Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde (der Dialer muss dan manuell geloescht werden)

5.und das neue Log vom HijackThis noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 14.09.2004 um 15:28 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.09.2004, 16:31
Deo_MC
...neu hier

Beiträge: 3
#63 hi @sabina
bei mir klapppt des net mit dem systemwiederherstellung deaktivieren...
unter eigenschaften von arbeitsplatz hats kein register "systemwiederherstellung"...

bitte um hilfe
Seitenanfang Seitenende
14.09.2004, 16:54
Dexion
Member

Beiträge: 20
#64 Hi habe auch das Problem mit dem Trojaner oder was das ist !!!
Stinger entfernt es zwar immer aber er kommt wie hier im Forum schon gesagt immer wieder !
Hier sind die Hijackthis Daten : (bittttte um Hilfe)also

C:\Window\system32\driver\etc\hosts
Found the QHosts.apd trojan !!! sagt der bei STINGER

Scan saved at 16:50:34, on 14.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\teamspeak2_RC2\TeamSpeak.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\ihrnamebitte\Eigene Dateien\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1A439C04-0108-4DB6-859E-508EC337C319} (Cpclock Control) - http://www.cpuid.org/download/cpclock.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab

Bitte sagen was ich zu tun hab und fixen muss , weil ich nicht so ein PC Kenner bin

gruss,
Dexion
Dieser Beitrag wurde am 14.09.2004 um 17:01 Uhr von Dexion editiert.
Seitenanfang Seitenende
14.09.2004, 18:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#65 Deo_MC

Arbeite dennoch alle weitern Punkte ab.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2004, 18:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#66 Dexion

fixe:
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {1A439C04-0108-4DB6-859E-508EC337C319} (Cpclock Control) - http://www.cpuid.org/download/cpclock.cab

neustarten

#Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
#Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

#Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal.


Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2004, 18:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#67 ;)
Das war wohl ein Doppelpost, sorry
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.09.2004 um 01:35 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.09.2004, 19:07
Deo_MC
...neu hier

Beiträge: 3
#68 Hi Sabina.
Danke für deine Tipps!
Mein PC funktioniert einwandfrei!!!

Mein Hijackthis Log:

Logfile of HijackThis v1.97.7
Scan saved at 19:07:27, on 14.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\WIEBERT\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Elaborate Bytes\CloneCD\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Desktop Dingsbums\Dexpot\Dexpot.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\McAfee\McAfee VirusScan\vsmain.exe
C:\Programme\McAfee\McAfee VirusScan\AlogServ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Desktop Dingsbums\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\CloneCD\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [Dexpot 1.2] C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Desktop Dingsbums\Dexpot\Dexpot.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCDBA598-6A6A-441C-AFF2-4B574C50DEFF}: NameServer = 62.53.221.51 193.189.244.205

Danke nochmal..
mfg Deo_MC
Seitenanfang Seitenende
14.09.2004, 20:27
Dexion
Member

Beiträge: 20
#69 Hi Sabrina eine Frage , habe alles soweit gemacht bis wann muss ich in den abgesicherten Modus gehen vor dem Update oder vor den Escan ???

Hi ,
Habe es jetzt nach dem ersten Scan und vor dem Zweiten im ABgesicherten Modus gestartet aber wenn ich dann MWAF.exe suche findet der diese Datei die er automatisch nach dem ersten SCAN auf dem Detkop entpackt hat , dann hab ich Doppelklick drauf gemacht, hat der kurz was gemacht und dann kam DEFAULT , 1-2 mal noch gemacht , und dann kam diese Datei ist keine gültige WIN32 Datei oder so .... was soll ich machen und bei C sind jetzt (Base) und BASES UND DOWNLOADS SInd neu hinzugekommen !

aja und muss ich den Trojaner weg machen oder später weil zur zeit ist er wieder drauf !!! (oder auch net ;) )
Und habe hier in ein paar COMMENTS gelesn das man irgendwas mit Systemwiederherstellungs umstelln muss oder brauch ich des net !?!

gruss,
Dexion

P.s.: Und noch was ( ich weiß das ich nerve, aber habe halt nicht so den plan, mein Bruder hat den selben Trojaner drauf, soll ich dir wenn ich mit meinen fertg bin auch seine HiJackThis daten sagen ? )
Dieser Beitrag wurde am 14.09.2004 um 21:06 Uhr von Dexion editiert.
Seitenanfang Seitenende
15.09.2004, 01:37
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#70 Deo_MC

Du hast den Dialer nicht gefixt und nicht geloescht....
16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab

#AdAware (free)
http://www.lavasoft.de/support/download/

#Search&Destroy
http://www.safer-networking.org/de/download/index.html

und auch kein Virenlog vom EScan gepostet.....

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2004, 01:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#71

Zitat

Dexion postete
Hi Sabrina eine Frage , habe alles soweit gemacht bis wann muss ich in den abgesicherten Modus gehen vor dem Update oder vor den Escan ???

Hi ,
Habe es jetzt nach dem ersten Scan und vor dem Zweiten im ABgesicherten Modus gestartet aber wenn ich dann MWAF.exe suche findet der diese Datei die er automatisch nach dem ersten SCAN auf dem Detkop entpackt hat , dann hab ich Doppelklick drauf gemacht, hat der kurz was gemacht und dann kam DEFAULT , 1-2 mal noch gemacht , und dann kam diese Datei ist keine gültige WIN32 Datei oder so .... was soll ich machen und bei C sind jetzt (Base) und BASES UND DOWNLOADS SInd neu hinzugekommen !

aja und muss ich den Trojaner weg machen oder später weil zur zeit ist er wieder drauf !!! (oder auch net ;) )
Und habe hier in ein paar COMMENTS gelesn das man irgendwas mit Systemwiederherstellungs umstelln muss oder brauch ich des net !?!

gruss,
Dexion

P.s.: Und noch was ( ich weiß das ich nerve, aber habe halt nicht so den plan, mein Bruder hat den selben Trojaner drauf, soll ich dir wenn ich mit meinen fertg bin auch seine HiJackThis daten sagen ? )
Also, eigentlich sollte man im NormalModus mit kavupd.exe" ueber DOS ein Update machen.

Danach in den abgesicherten Modus gehen und dort die mwav.exe (oder mwavscan.exe ) suchen, anklicken und alle Haekchen setzen und scannen.
Wahrscheinlich musst du WinRar laden, bevor du den Scanner entpacken kannst.
http://www.rarlab.com/download.htm
.................................................................................................................
Wenn es nicht funktioniert mit dem Scanner, mache folgendes:

Fixe alles, was ich gepostet habe, dann sofort neustarten.

1. >CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm

2.#Antivirus (free)
http://www.free-av.de/
nach dem Installationsscann(den du in Ruhe abwarten musst, konfiguriere das Tool: <alle Dateien< und <Heuristik:mittel"

Dann gehe in den abgesicherten Modus und mache einen Komplettscann.(alles Loeschen...keine Quarantaene !!!)

Dann poste, was die zwei Scanner gefunden haben und das neue Log vom HijackThis noch mal.

Erst danach sprechen wir ueber die Absicherung, wie Wiederherstellung deaktivieren, Firewall, usw.

mfg
Sabina (natuerlich kannst du noch andere Logs posten ;) )
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.09.2004 um 01:52 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.09.2004, 12:14
Luvstruck
...neu hier

Beiträge: 10
#72 Ich bekomme seit letzter Woche auch immer irgendwelche Warnung: Agobot.29.R / MSLTI64.exe / Trojanhorse Downloader.Small.6.I u.ä.

Irgendwie finde ich aber nichts auffälliges. Was nun ?
Gruß Luvstruck


PS: Wenn ich mir die Logfiles der anderen User ansehe, ist´s bei mir doch mehr als sauber, oder ?


Logfile of HijackThis v1.98.2
Scan saved at 12:11:42, on 15.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\VERISIGN\NAVI\NAVIAGENT.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE
C:\PROGRAMME\ATNOTES\ATNOTES.EXE
C:\WINDOWS\RSRCMTR.EXE
C:\PROGRAMME\WINAMP\WINAMP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\VERISIGN\NAVI\NAVICLIENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\FLASHGET\FLASHGET.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
D:\- TEMP\HIJACKTHIS 1.98.2\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [navi] "C:\Programme\VeriSign\NAVI\naviagent.exe" uimode=agentupdate
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe
O4 - Startup: Rsrcmtr.lnk = C:\WINDOWS\RSRCMTR.EXE
O4 - Startup: win-data 7 Zahlungserinnerung.lnk = C:\Programme\win-data 7\win-data pro Zahlungserinnerung.exe
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
Seitenanfang Seitenende
15.09.2004, 13:33
Dexion
Member

Beiträge: 20
#73 Huhu Sabrina (alle)
habe alles gemacht , hat jetzt alles geklappt !!!
AM Anfang der Trojaner mit Stinger entfernt , dann noch mit Ad-war gecheckt, dann HiJackthis Dinger gefixed und schließlich Escan
Hier sind jetzt erst mal HiJackthis Files, da drunter die Sachen vom Escan !
Eine Frage noch, kann ich jetzt wieder BASE , BESES UND DOWNLOADS IN C Löschen ??? also hier HiJackThis :


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\ihrnamebitte\Eigene Dateien\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab

und Escan :

Wed Sep 15 13:25:11 2004 => ***** Scanning complete. *****

Wed Sep 15 13:25:11 2004 => Total Number of Files Scanned: 31913
Wed Sep 15 13:25:11 2004 => Total Number of Virus(es) Found: 11
Wed Sep 15 13:25:11 2004 => Total Number of Disinfected Files: 0
Wed Sep 15 13:25:11 2004 => Total Number of Files Renamed: 10
Wed Sep 15 13:25:11 2004 => Total Number of Deleted Files: 1
Wed Sep 15 13:25:11 2004 => Total Number of Errors: 3
Wed Sep 15 13:25:11 2004 => Time Elapsed: 00:28:16
Wed Sep 15 13:25:11 2004 => Virus Database Date: 2004/09/08
Wed Sep 15 13:25:11 2004 => Virus Database Count: 103474

Wed Sep 15 13:25:11 2004 => Scan Completed.

brauchste noch etwas ???
also bis jetzt ist er zumindest nicht mehr drauf ;) ;) ;)

P.s.: Wenn du ICQ hast adde mich bitte 334193414

greetz,
Dexion !
Seitenanfang Seitenende
15.09.2004, 14:37
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#74 Hallo @Dexion

#Das Log ist sauber ;)

#Du solltest einen Virenscanner +Virenguard installieren.
Antivirus (free)
http://www.free-av.de/
nach dem Installationsscann(den du in Ruhe abwarten musst, konfiguriere das Tool: <alle Dateien< und <Heuristik:mittel" im Scanner UND im Guard

#Deaktiviere die Wiederherstellung (boote) und aktiviere sie wieder.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#ALTERNATIVBROWSER : zum IE (Sicherheitsrisiko)
#Firefox
http://firebird-browser.de/
#Opera
http://www.opera7.de/

Alternativ/Mail zum Outlook (Sicherheitsrisiko)
http://www.alles-und-umsonst.de/kostenlos/email.html

#FIREWALLS, NETZWERK-SICHERHEIT UND DIE BÖSEN HACKER
http://www.nickles.de/c/s/26-0015-204-1.htm
#Personal Firewalls
http://www.joergkrusesweb.de/internet/sicherheit/index-2.html
.........................................................................................................
Scanne noch mal im Normalmodus mit mwav.exe und berichte, ob wirklich alles sauber ist.
(Virenlog aus "Viewer"vom Scanner speichern und dann abkopieren:
was als <deleted< und <renamed< und <no action taken< gefunden wurde!!!!!!!!

( und nach 30 Tagen kannst du das Tool deinstallieren)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.09.2004 um 14:42 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.09.2004, 14:53
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#75 hallo @Luvstruck

#Finde laufende Systemprozesse:, die auf den Virus verweisen
TCPview (Systemprozesse, laufende) finden
http://www.sysinternals.com/ntw2k/source/tcpview.shtml


Suche:und loesche:
C:\WINDOWS\SYSTEM\mslti64.exe
C:\WINDOWS\SYSTEM\wmmon32.exe

Gehe in die HOSTS-Datei (mit Editor oeffnen)
%Windows%\hosts

Originale-Hosts: ist 127.0.0.1 Lokalhosts
Loesche alle Eintraege wie z.B:
# 127.0.0.1 avp.com
# 127.0.0.1 ca.com
# 127.0.0.1 customer.symantec.com
......

Lade eine Firewall;)falls du noch keine hast )
Personal Firewalls
http://www.joergkrusesweb.de/internet/sicherheit/index-2.html
........................................................................................................
#Stinger
http://vil.nai.com/vil/stinger/

#CLRAV> Kaspersky (DOS-Scanner)
http://www.vsantivirus.com/util-clrav.htm

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp

die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.

und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.

Poste danach Virus Log Information.
....................................................................................................
#Onlinescann
Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.09.2004 um 14:59 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: