Trojaner - Qhosts.apd trojan (werde noch narrisch)Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
14.09.2004, 15:09
...neu hier
Beiträge: 3 |
||
|
||
14.09.2004, 15:21
Ehrenmitglied
Beiträge: 29434 |
#62
Hallo @ Deo_MC
Dein PC ist voellig verseucht...du solltest ueber eine Neuinstallation nachdenken. UND VOR ALLEM DIE WINDOWSUPDATES MACHEN !!!!!!!!!!! Neuinstallation XP http://8ung.at/chemikers-home/SETUP.html 1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren http://www.dirks-computerecke.de/windows-xp-firewall.htm 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen http://www.firebird-browser.de/ 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten 9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen http://www.free-av.de/ 10) alle Passworte aendern ............................................................................................................... 1.Wiederherstellung deaktivieren http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 2.Fixe mit dem HijackThisdann sofort neustarten) R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe //ICWLaunch O4 - HKLM\..\Run: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe" O4 - HKLM\..\Run: [Outlook Express Config] vtskf.exe O4 - HKLM\..\Run: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe" O4 - HKLM\..\Run: [restrictanonymous] O4 - HKLM\..\RunServices: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe" O4 - HKLM\..\RunServices: [EnableDCOM] N O4 - HKLM\..\RunServices: [Outlook Express Config] vtskf.exe O4 - HKLM\..\RunServices: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe" O4 - HKCU\..\Run: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe" O4 - HKCU\..\Run: [Dexpot 1.2] C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Desktop Dingsbums\Dexpot\Dexpot.exe O4 - HKCU\..\Run: [Outlook Express Config] vtskf.exe O4 - HKCU\..\Run: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe" O4 - HKCU\..\RunServices: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe" O4 - HKCU\..\RunServices: [Outlook Express Config] vtskf.exe O4 - HKCU\..\RunServices: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe" dialer: O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab neustarten 3.Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) #Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. 4.Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde (der Dialer muss dan manuell geloescht werden) 5.und das neue Log vom HijackThis noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.09.2004 um 15:28 Uhr von Sabina editiert.
|
|
|
||
14.09.2004, 16:31
...neu hier
Beiträge: 3 |
#63
hi @sabina
bei mir klapppt des net mit dem systemwiederherstellung deaktivieren... unter eigenschaften von arbeitsplatz hats kein register "systemwiederherstellung"... bitte um hilfe |
|
|
||
14.09.2004, 16:54
Member
Beiträge: 20 |
#64
Hi habe auch das Problem mit dem Trojaner oder was das ist !!!
Stinger entfernt es zwar immer aber er kommt wie hier im Forum schon gesagt immer wieder ! Hier sind die Hijackthis Daten : (bittttte um Hilfe)also C:\Window\system32\driver\etc\hosts Found the QHosts.apd trojan !!! sagt der bei STINGER Scan saved at 16:50:34, on 14.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\teamspeak2_RC2\TeamSpeak.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\ihrnamebitte\Eigene Dateien\Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [LiveNote] livenote.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {1A439C04-0108-4DB6-859E-508EC337C319} (Cpclock Control) - http://www.cpuid.org/download/cpclock.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab Bitte sagen was ich zu tun hab und fixen muss , weil ich nicht so ein PC Kenner bin gruss, Dexion Dieser Beitrag wurde am 14.09.2004 um 17:01 Uhr von Dexion editiert.
|
|
|
||
14.09.2004, 18:03
Ehrenmitglied
Beiträge: 29434 |
#65
Deo_MC
Arbeite dennoch alle weitern Punkte ab. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.09.2004, 18:06
Ehrenmitglied
Beiträge: 29434 |
#66
Dexion
fixe: O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [LiveNote] livenote.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {1A439C04-0108-4DB6-859E-508EC337C319} (Cpclock Control) - http://www.cpuid.org/download/cpclock.cab neustarten #Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) #Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. #Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.09.2004, 18:07
Ehrenmitglied
Beiträge: 29434 |
#67
Das war wohl ein Doppelpost, sorry Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.09.2004 um 01:35 Uhr von Sabina editiert.
|
|
|
||
14.09.2004, 19:07
...neu hier
Beiträge: 3 |
#68
Hi Sabina.
Danke für deine Tipps! Mein PC funktioniert einwandfrei!!! Mein Hijackthis Log: Logfile of HijackThis v1.97.7 Scan saved at 19:07:27, on 14.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\pctspk.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\System32\svchost.exe C:\DOKUME~1\WIEBERT\LOKALE~1\TEMP\_VWUPSRV.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Elaborate Bytes\CloneCD\VirtualCloneDrive\VCDDaemon.exe C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Desktop Dingsbums\Dexpot\Dexpot.exe C:\Programme\McAfee\McAfee VirusScan\VsStat.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\McAfee\McAfee VirusScan\vsmain.exe C:\Programme\McAfee\McAfee VirusScan\AlogServ.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Desktop Dingsbums\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\CloneCD\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\Run: [Dexpot 1.2] C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Desktop Dingsbums\Dexpot\Dexpot.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DCDBA598-6A6A-441C-AFF2-4B574C50DEFF}: NameServer = 62.53.221.51 193.189.244.205 Danke nochmal.. mfg Deo_MC |
|
|
||
14.09.2004, 20:27
Member
Beiträge: 20 |
#69
Hi Sabrina eine Frage , habe alles soweit gemacht bis wann muss ich in den abgesicherten Modus gehen vor dem Update oder vor den Escan ???
Hi , Habe es jetzt nach dem ersten Scan und vor dem Zweiten im ABgesicherten Modus gestartet aber wenn ich dann MWAF.exe suche findet der diese Datei die er automatisch nach dem ersten SCAN auf dem Detkop entpackt hat , dann hab ich Doppelklick drauf gemacht, hat der kurz was gemacht und dann kam DEFAULT , 1-2 mal noch gemacht , und dann kam diese Datei ist keine gültige WIN32 Datei oder so .... was soll ich machen und bei C sind jetzt (Base) und BASES UND DOWNLOADS SInd neu hinzugekommen ! aja und muss ich den Trojaner weg machen oder später weil zur zeit ist er wieder drauf !!! (oder auch net ) Und habe hier in ein paar COMMENTS gelesn das man irgendwas mit Systemwiederherstellungs umstelln muss oder brauch ich des net !?! gruss, Dexion P.s.: Und noch was ( ich weiß das ich nerve, aber habe halt nicht so den plan, mein Bruder hat den selben Trojaner drauf, soll ich dir wenn ich mit meinen fertg bin auch seine HiJackThis daten sagen ? ) Dieser Beitrag wurde am 14.09.2004 um 21:06 Uhr von Dexion editiert.
|
|
|
||
15.09.2004, 01:37
Ehrenmitglied
Beiträge: 29434 |
#70
Deo_MC
Du hast den Dialer nicht gefixt und nicht geloescht.... 16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab #AdAware (free) http://www.lavasoft.de/support/download/ #Search&Destroy http://www.safer-networking.org/de/download/index.html und auch kein Virenlog vom EScan gepostet..... mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.09.2004, 01:45
Ehrenmitglied
Beiträge: 29434 |
#71
Zitat Dexion posteteAlso, eigentlich sollte man im NormalModus mit kavupd.exe" ueber DOS ein Update machen. Danach in den abgesicherten Modus gehen und dort die mwav.exe (oder mwavscan.exe ) suchen, anklicken und alle Haekchen setzen und scannen. Wahrscheinlich musst du WinRar laden, bevor du den Scanner entpacken kannst. http://www.rarlab.com/download.htm ................................................................................................................. Wenn es nicht funktioniert mit dem Scanner, mache folgendes: Fixe alles, was ich gepostet habe, dann sofort neustarten. 1. >CLRAV> Kaspersky DOS-Scanner http://www.vsantivirus.com/util-clrav.htm 2.#Antivirus (free) http://www.free-av.de/ nach dem Installationsscann(den du in Ruhe abwarten musst, konfiguriere das Tool: <alle Dateien< und <Heuristik:mittel" Dann gehe in den abgesicherten Modus und mache einen Komplettscann.(alles Loeschen...keine Quarantaene !!!) Dann poste, was die zwei Scanner gefunden haben und das neue Log vom HijackThis noch mal. Erst danach sprechen wir ueber die Absicherung, wie Wiederherstellung deaktivieren, Firewall, usw. mfg Sabina (natuerlich kannst du noch andere Logs posten ) __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.09.2004 um 01:52 Uhr von Sabina editiert.
|
|
|
||
15.09.2004, 12:14
...neu hier
Beiträge: 10 |
#72
Ich bekomme seit letzter Woche auch immer irgendwelche Warnung: Agobot.29.R / MSLTI64.exe / Trojanhorse Downloader.Small.6.I u.ä.
Irgendwie finde ich aber nichts auffälliges. Was nun ? Gruß Luvstruck PS: Wenn ich mir die Logfiles der anderen User ansehe, ist´s bei mir doch mehr als sauber, oder ? Logfile of HijackThis v1.98.2 Scan saved at 12:11:42, on 15.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\VERISIGN\NAVI\NAVIAGENT.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE C:\PROGRAMME\ATNOTES\ATNOTES.EXE C:\WINDOWS\RSRCMTR.EXE C:\PROGRAMME\WINAMP\WINAMP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\VERISIGN\NAVI\NAVICLIENT.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\FLASHGET\FLASHGET.EXE C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE C:\WINDOWS\SYSTEM\HPZSTATX.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE D:\- TEMP\HIJACKTHIS 1.98.2\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FGIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [navi] "C:\Programme\VeriSign\NAVI\naviagent.exe" uimode=agentupdate O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe O4 - Startup: Rsrcmtr.lnk = C:\WINDOWS\RSRCMTR.EXE O4 - Startup: win-data 7 Zahlungserinnerung.lnk = C:\Programme\win-data 7\win-data pro Zahlungserinnerung.exe O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll |
|
|
||
15.09.2004, 13:33
Member
Beiträge: 20 |
#73
Huhu Sabrina (alle)
habe alles gemacht , hat jetzt alles geklappt !!! AM Anfang der Trojaner mit Stinger entfernt , dann noch mit Ad-war gecheckt, dann HiJackthis Dinger gefixed und schließlich Escan Hier sind jetzt erst mal HiJackthis Files, da drunter die Sachen vom Escan ! Eine Frage noch, kann ich jetzt wieder BASE , BESES UND DOWNLOADS IN C Löschen ??? also hier HiJackThis : Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\teamspeak2_RC2\TeamSpeak.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\ihrnamebitte\Eigene Dateien\Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing) O3 - Toolbar: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab und Escan : Wed Sep 15 13:25:11 2004 => ***** Scanning complete. ***** Wed Sep 15 13:25:11 2004 => Total Number of Files Scanned: 31913 Wed Sep 15 13:25:11 2004 => Total Number of Virus(es) Found: 11 Wed Sep 15 13:25:11 2004 => Total Number of Disinfected Files: 0 Wed Sep 15 13:25:11 2004 => Total Number of Files Renamed: 10 Wed Sep 15 13:25:11 2004 => Total Number of Deleted Files: 1 Wed Sep 15 13:25:11 2004 => Total Number of Errors: 3 Wed Sep 15 13:25:11 2004 => Time Elapsed: 00:28:16 Wed Sep 15 13:25:11 2004 => Virus Database Date: 2004/09/08 Wed Sep 15 13:25:11 2004 => Virus Database Count: 103474 Wed Sep 15 13:25:11 2004 => Scan Completed. brauchste noch etwas ??? also bis jetzt ist er zumindest nicht mehr drauf P.s.: Wenn du ICQ hast adde mich bitte 334193414 greetz, Dexion ! |
|
|
||
15.09.2004, 14:37
Ehrenmitglied
Beiträge: 29434 |
#74
Hallo @Dexion
#Das Log ist sauber #Du solltest einen Virenscanner +Virenguard installieren. Antivirus (free) http://www.free-av.de/ nach dem Installationsscann(den du in Ruhe abwarten musst, konfiguriere das Tool: <alle Dateien< und <Heuristik:mittel" im Scanner UND im Guard #Deaktiviere die Wiederherstellung (boote) und aktiviere sie wieder. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #ALTERNATIVBROWSER : zum IE (Sicherheitsrisiko) #Firefox http://firebird-browser.de/ #Opera http://www.opera7.de/ Alternativ/Mail zum Outlook (Sicherheitsrisiko) http://www.alles-und-umsonst.de/kostenlos/email.html #FIREWALLS, NETZWERK-SICHERHEIT UND DIE BÖSEN HACKER http://www.nickles.de/c/s/26-0015-204-1.htm #Personal Firewalls http://www.joergkrusesweb.de/internet/sicherheit/index-2.html ......................................................................................................... Scanne noch mal im Normalmodus mit mwav.exe und berichte, ob wirklich alles sauber ist. (Virenlog aus "Viewer"vom Scanner speichern und dann abkopieren: was als <deleted< und <renamed< und <no action taken< gefunden wurde!!!!!!!! ( und nach 30 Tagen kannst du das Tool deinstallieren) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.09.2004 um 14:42 Uhr von Sabina editiert.
|
|
|
||
15.09.2004, 14:53
Ehrenmitglied
Beiträge: 29434 |
#75
hallo @Luvstruck
#Finde laufende Systemprozesse:, die auf den Virus verweisen TCPview (Systemprozesse, laufende) finden http://www.sysinternals.com/ntw2k/source/tcpview.shtml Suche:und loesche: C:\WINDOWS\SYSTEM\mslti64.exe C:\WINDOWS\SYSTEM\wmmon32.exe Gehe in die HOSTS-Datei (mit Editor oeffnen) %Windows%\hosts Originale-Hosts: ist 127.0.0.1 Lokalhosts Loesche alle Eintraege wie z.B: # 127.0.0.1 avp.com # 127.0.0.1 ca.com # 127.0.0.1 customer.symantec.com ...... Lade eine Firewallfalls du noch keine hast ) Personal Firewalls http://www.joergkrusesweb.de/internet/sicherheit/index-2.html ........................................................................................................ #Stinger http://vil.nai.com/vil/stinger/ #CLRAV> Kaspersky (DOS-Scanner) http://www.vsantivirus.com/util-clrav.htm Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken. Poste danach Virus Log Information. .................................................................................................... #Onlinescann Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.09.2004 um 14:59 Uhr von Sabina editiert.
|
|
|
||
ich hab auch das problem mit dem qhosts.apd trojan.
Hab stinger durchlaufen lassen...
der findet immer den gleichen:
[b]McAfee AVERT Stinger Version 2.3.0.0 built on Jul 5 2004
Copyright (C) 2004 McAfee, Inc. All Rights Reserved.
Virus data file v1000 created on Jul 5 2004.
Ready to scan for 44 viruses, trojans and variants.
Scan initiated on Tue Sep 14 14:51:53 2004
C:\WINDOWS\system32\drivers\etc\hosts
Found the Qhosts.apd trojan !!!
C:\WINDOWS\system32\drivers\etc\hosts has been deleted.
Number of clean files: 308
Number of Trojans: 1
Number of files deleted: 1[b]
Wenn ich den pc dann neu starte und nochmal durchlaufen lasse kommt das gleiche...
Mein taskmanager, mein Hijackthis und mein antiviren-programm (McAffee) gehen auch nicht mehr.
Im abgesicherten modus fand mein anti-virusprogramm nichts.
Mein HijackthisLog:
Logfile of HijackThis v1.97.7
Scan saved at 14:59:19, on 14.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Downloads\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe //ICWLaunch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Desktop Dingsbums\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\CloneCD\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Outlook Express Config] vtskf.exe
O4 - HKLM\..\Run: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe"
O4 - HKLM\..\Run: [restrictanonymous]
O4 - HKLM\..\RunServices: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe"
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Outlook Express Config] vtskf.exe
O4 - HKLM\..\RunServices: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe"
O4 - HKCU\..\Run: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe"
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [Dexpot 1.2] C:\Dokumente und Einstellungen\Wiebert\Desktop\Ruben\Desktop Dingsbums\Dexpot\Dexpot.exe
O4 - HKCU\..\Run: [Outlook Express Config] vtskf.exe
O4 - HKCU\..\Run: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe"
O4 - HKCU\..\RunServices: [Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winupd\winupd32.exe"
O4 - HKCU\..\RunServices: [Outlook Express Config] vtskf.exe
O4 - HKCU\..\RunServices: [Microsoft Windows DLL host] "C:\Dokumente und Einstellungen\Wiebert\winhost\winhost32.exe"
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCDBA598-6A6A-441C-AFF2-4B574C50DEFF}: NameServer = 62.53.221.51 193.189.244.205
Ich hoffe mir kann jemand helfen.
Danke schon mal im Voraus.
mfg Deo_MC