Trojaner - Qhosts.apd trojan (werde noch narrisch)

#91 HI sABina
ENtweder haste dich schon wieder verschrieben ne spaß aber das ist doch auch falsch oder ?

#und den Scanner mit der "mwavscan.com" starten.

letzte mal hieß das einfach nur mwav.exe im abgesicherten Modus !

#92 @Sabina

Ich frage mich aber, woher die 1.exe kommt bzw. "wer" sie "produziert".
Zu 95% leere ich den Papierkorb nämlich immer dann, wenn ich was reingetan habe.

Die 3 Sachen von eScan haben also nichts zu sagen ?!
Und die Log-View von Hijackthis ist auch i.O. ? Auf deren Seite wurde jedenfalls nichts als gefährlich eingestuft. Das einzige, was ich gestern gefixt hatte, waren Einträge im Kontextmenü "Bild mit MicrosoftDraw öffnen"...

#93 hallo @Dexion
Ich habe zwei verschiedene Anleitungen fuer den eScan,ist aber gehuppt wie gesprungen....du musst immer das Gleiche ausfuehren.(ob nun c:\base oder c:\bases oder c:was weiss ich....hauptsache, du erstellst eine Datei.

Natuerlich mwav.exe (ist der Scanner)

MFG
sABINA
__________
MfG Sabina

rund um die PC-Sicherheit

#94 Hallo @Luvstruck

1.exe ist ein Trojaner, den du dir irgendwo eingefangen und geladen hast.
Schau mal, ob du in Extras< InternetOptionen< Sicherheit< AktiveX <
aktiviert hast.

Ansonsten empfehle ich dringend mit dem neuen Firefox zu suerfenNICHT MEHR MIT DEM IE)
http://www.pcwelt.de/downloads/browser_netz/browser/102959/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#95 UND NOCH WAS WARUM DAUERT DIESER VIREN SCAN SO LANGE MIT DEN PROGRAMM

#96 Wahrscheinlich, weil du soviele Dateien geladen hast.....
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#97 Soll ich das Programm auch mal bei mir drauf machen weil bei meinen Bruder hat der schon 4 Viruse gefunden und soll ich nach dem scan es wieder de-installieren weil 2 Virenporgramme tun sich net gut glaub ich !!!

#98 Dieses Tool eScan ist nur eine Testversion...30 Tage gueltig und du kannst es drauf lassen.
Es gibt keine Konflikte mit anderen AntivirenProgrammen.
Nach 30 Tagen loeschst du es dann.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#99 ne ich meine dieses Kapersky oder so ähnlich der macht deees schon so lange und hat 5 Viren schon gefunden und soll ich das auch mal bei mir draufmachn ?

#100 ach sooooo, ihr habt den Kaspersky geladen ?????(ist auch nur eine Testversion)
Ihr solltet doch nur diese zwei exe direkt und EINZELN pruefen lassen.....

nun braucht dein Bruder den escan (auch was von Kaspersky, und den Antivirus nicht mehr zu laden.Es sei denn, er deinstalliert nach Ablauf der kostenlosen Testzeit den Kaspersky und dann MUSS er Antivirus laden. (!)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#101 Hi,
Woher soll ich en wissen wie das geht das der nur die beiden Dateien löscht
auf jeden fall ist das gut weil hat 5 Viren mehr gelöscht

Escan hab ich ihn auch schon draufgemacht !!! Soll ichs damit jetzt auch noch checken lassn ?

Kaspersky ist gleich fertig, dann kann ich dir ja das Protokoll schicken und das neue HiJackthis protokoll oder ???

danach Kaspersky wieder De-installieren und Systemwiederherstellung wieder an machn ok ???

#102 so ein Quatsch !!!Ihr haut euren PC mit den ganzen Testversionen voll und wenn dann in einiger Zeit wieder eine Virenattacke kommt, habt ihr keine Tools mehr ..(nur noch den Antivirus)

ausserdem wollte ich nur den NAMEN DER ZWEI TROJANER, von Loeschen mit Kaspersky war KEINE REDE !!!!!!!!!!!Dafuer war der escan gedacht.

http://www.kaspersky.com/remoteviruschk.html
<procurar<.....da durchforstet man seinen PC, bis man die betreffenen exe gefunden hat und dann laesst man sie analysieren



Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#103 und nun ???
was soll ich jetzt machn ???

#104 Wenn alles gescannt ist, poste das Virenlog vom Kaspersky (infizierte Sachen abkopieren)
und das neue Log vom HijackThis.
Bis heute Abend.
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#105 Hi ok ,
aber jetzt noch 3 Sachen :
Soll ich Kaspersky wieder De-Installieren ???
Noch mit Escan scannen ja oder nein ???
Systemwiederherstellung wieder anmachn ???

Hier sind HiJackThis Daten :

Logfile of HijackThis v1.98.2
Scan saved at 18:13:00, on 16.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Dit.exe
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\virtualmemory.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\DitExp.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\KLaus\Desktop\ANTI VIREN\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] C:\Programme\T-Online\Dialerschutz-Software\Defender.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSN UPDATERS] virtualmemory.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunServices: [MSN UPDATERS] virtualmemory.exe
O4 - HKCU\..\Run: [MSN UPDATERS] virtualmemory.exe
O4 - HKCU\..\RunServices: [MSN UPDATERS] virtualmemory.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

bei Kaspersky hat er
8 Viren gefunden
8 gelöscht

Die beiden Trojaner :
C:\Dokumente und EInstellungen\Max\Lokale EInstellungen\Temp\sith-7292.exe\Clock Data Manager.bat Is a Trojan Trojan.BAT.Passer.f

C:\WinNT\System32\MSClock\RenderXP.exe Is a Trojan Trojan.Win32.Delsha.c

und dieses SYSCONF.EXE is a Backdoor Backdoor.Agobot.sg

hoffe du kannst da was mit anfangen !!!