Trojaner - Qhosts.apd trojan (werde noch narrisch)

Thema ist geschlossen!
Thema ist geschlossen!
#0
21.09.2004, 09:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#121 Hallo @olli2301

Fixe:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
O4 - HKLM\..\Run: [SchedulerMgr] C:\WINDOWS\qservice.exe /i
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\svchst.exe /i

neustarten

1. Ueberpruefe bitte die zwei exe einzeln mit Kaspersky und poste das Ergebnis:
.Kaspersky (Online)
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\qservice.exe
C:\WINDOWS\svchst.exe

2.Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.09.2004 um 09:43 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.09.2004, 23:01
...neu hier

Beiträge: 6
#122 Hallo Sabina,

was´konnte ich damit tun? Wie ich gelesen habe, Stinger kann damit nichts zu tun...

konntest du auch mir etwas empfehlen?
Ildiko? Slowakei


Mein log-file schreibt:

Logfile of HijackThis v1.97.7
Scan saved at 21:35:17, on 26.9.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\System32\xwinxrpc32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msgrsv32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\il_dee\LOCALS~1\Temp\Rar$EX0s.500\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zoznam.sk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [win] xwinxrpc32.exe
O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\msgrsv32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [win] xwinxrpc32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
Seitenanfang Seitenende
26.09.2004, 23:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#123 Hallo @il_dee

Fixe mit dem HijackThis, dann neustarten:

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [win] xwinxrpc32.exe
O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\msgrsv32.exe
O4 - HKLM\..\RunServices: [win] xwinxrpc32.exe

neustarten

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update
ueber DOS) ausführen.

<i den abgesicherten Modus gehen
http://www.bsi.de/av/texte/winsave.htm

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Gehe wieder in den Normalmodus und scanne noch mal.

<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal
.......................................................................................................
#Wiederherstellung deaktivieren
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
#NT- Dienste sicher konfigurieren www.dingens.org
#<Agnitum: Outpost Firewall
Outpost von Agnitum gibt es auch als free-Version.
http://www.agnitum.com/download/outpost1.html
<Outpost Firewall Spezial
Deutschsprachige Anleitungen zur Installation und Konfiguration von Outpost auf brain-pro.de.
http://www.brain-pro.de/outpostspezial.htm

#Antivirus (free) laden
http://www.free-av.de/
Konfigurieren.<alle Dateien und Heuristik: mittel(im Scanner UND im Guard (!) und noch mal einen Komplettscann machen

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.09.2004 um 23:21 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.09.2004, 23:43
...neu hier

Beiträge: 6
#124 Hallo Sabina, danke fur dein Antwort, ich habe alles gemacht als du mir geschrieben hast.

mwav.exe hat mir 700 .doc Files gefunden (wahrscheinlich weil die Files Osteuropische Buschstaben enthalten?!?), auf die es mit Satz: "infected by "BkCln.Unknown" Virus. Action Taken: File Renamed." reagierte. Ist es OK?

Ausserdem waren da noch diese Sachen:


File C:\WINDOWS\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\msgrsv32.exe infected by "TrojanProxy.Win32.Ranky.aj" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\xwinxrpc32.exe infected by "Backdoor.Agobot.gen" Virus. Action Taken: File Renamed.
File C:\Program Files\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as not-a-virus:AdvWare.Toolbar.MyWay.e. No Action Taken.
File D:\hardrisk-D\e-books\DISK_SK Fenomén E-book - Oplatí sa cítat knihy na monitore.mht infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File D:\hardrisk-D\getrt45d.exe tagged as not-a-virus:AdvWare.Gator. No Action Taken.


Ich denke ich sollte das Getright loschen. Aber was ist dieser AdvWare.Toolbar.MyWay.e?


Der neuer hijack sieht so aus:

Logfile of HijackThis v1.97.7
Scan saved at 23:17:10, on 27.9.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\base\mwavscan.com
C:\base\kavss.exe
C:\WINDOWS\explorer.exe
C:\DOCUME~1\il_dee\LOCALS~1\Temp\Rar$EX04.s00\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zoznam.sk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)


Was meinst du? Wie sieht es jetzt aus?

THX 4 help
il_dee
Seitenanfang Seitenende
27.09.2004, 23:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#125 @il_dee

Fixe:

O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL

neustarten

Ploetzlich hast du einen Proxy...ist das so eingestellt , also korrekt ????
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost




#Deaktivieren Wiederherstellung
XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#Deinstalliere:
C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
und loesche:MYSRCHAS.DLL
Open 'Add/Remove Programs' in the Control Panel. Select the 'My Search Bar' (MySearch variant), 'MyWay Speed Bar' (MyWay) or 'My Web Search Bar' (MyWeb) entry and click 'Remove'. For the MyWeb variant, be sure to also remove 'Fun Web Products Easy Installer'

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus)

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#ANTS 2.1 (ueberpruefe offenen Ports und poste es )
http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547

poste das neue Log vom HijackThis.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.09.2004 um 23:59 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.09.2004, 00:55
...neu hier

Beiträge: 6
#126 Ich habe noch nicht alles beendet, aber:

1.
"Ploetzlich hast du einen Proxy...ist das so eingestellt , also korrekt ????
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost" - es ist nicht mehr da, ich weiss nicht was es bedeutete

2. "#Deinstalliere:
C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
und loesche:MYSRCHAS.DLL
Open 'Add/Remove Programs' in the Control Panel. Select the 'My Search Bar' (MySearch variant), 'MyWay Speed Bar' (MyWay) or 'My Web Search Bar' (MyWeb) entry and click 'Remove'. For the MyWeb variant, be sure to also remove 'Fun Web Products Easy Installer'" -
ich kann maniuell das MYSRCHAD.dll loeschen, abe durch "add/Remove programs" es geht nicht, ich bekomme Fehlermeldung C:\Program Files\MyWay\MyBar\1.bin\MYBAR.DLL could not be found.

/die andere Files in der C:\Program Files\MyWay sollen da bleiben? Was sind es fur Sachen?/

3. jetz bin ich beim AdAware-download...
ich melde mich noch

il_dee
Seitenanfang Seitenende
29.09.2004, 11:20
...neu hier

Beiträge: 10
#127 @ Sabina

Vielleicht kannst Du Dich noch daran erinnern: Ich hatte mal gepostet.....


AVG meldet:
Results of Complete Test, date and time 17.09.04 15:24:32 :

Testing C:\Angebote etc Ser*hier nicht!* 401F-D249
C:\Angebote etc\MSLTI64.EXE Virus identified Worm/Agobot.29.R

Test finished, duration 00:08:28.5 s
6070 objects tested, 1 found infected


C:\Angebote etc ist eine Ordner, der über Netzwerk freigegeben ist.


Seit ich den Ordner C:\Angebote etc in C:\Angebote umbenannt habe, habe ich keine Warnungen, Virenmeldungen o.ä. mehr erhalten.

Vielleicht kann ich meinem Rechner nun wieder etwas mehr vertrauen :-)

Grüße
Luvstruck
Seitenanfang Seitenende
29.09.2004, 11:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#128 Hallo @Luvstruck

Logfile of HijackThis v1.98.2
Scan saved at 15:50:17, on 17.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\VERISIGN\NAVI\NAVIAGENT.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE
C:\PROGRAMME\ATNOTES\ATNOTES.EXE
C:\WINDOWS\RSRCMTR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\VERISIGN\NAVI\NAVICLIENT.EXE
C:\PROGRAMME\WINAMP\WINAMP.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\FLASHGET\FLASHGET.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\REGEDIT.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\- TEMP\- PROGZ\- PROGZ\HIJACKTHIS 1.98.2\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [navi] "C:\Programme\VeriSign\NAVI\naviagent.exe" uimode=agentupdate
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe
O4 - Startup: Rsrcmtr.lnk = C:\WINDOWS\RSRCMTR.EXE
O4 - Startup: win-data 7 Zahlungserinnerung.lnk = C:\Programme\win-data 7\win-data pro Zahlungserinnerung.exe
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

W32/Gaobot.UE

#Es werden Veraenderungen im HOSTS vorgenommen: (mit dem NOTEPAD oeffnen)
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

Vermutlich hat der Virus deine HOSTS-Datei modifiziert. In diesem Fall enthält die Datei HOSTS unter %windir%\system32\drivers\etc Einträge in der Art von z.B. "127.0.0.1 liveupdate.symantec.com". Lösch alle diese Einträge, so dass nur noch die Zeile "127.0.0.1 localhost" sowie evtl. von dir gewünschte Werte zu sehen sind.

manuell oder dieses Tool laden:
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'


alles loeschen:
____________

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com

#sieh in der Registry, ob du folgende Eintraege findest: (wenn ja, rechts loeschen)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Video Process
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Video Process

#Antivirus deinstallieren und neu laden, denn der Trojaner kann ihn zerstoert haben.

#Lade von dieser Site die Removaltools
http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.removal.tool.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.uj.removal.tool.html

#Ueberpruefe offnene Ports mit diesem Tool:
#ANTS 2.1
http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547

Falls du keinen Router hast, denke mal ueber die Installation einer Firewall nach...zum Beispiel:
<Kerio Personal Firewall
Kerio ist freeware für den privaten Gebrauch.
http://www.kerio.com/kpf_download.html
<Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x
Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal).
http://www.firewallinfo.de/handbuecher/tiny_kerio_20/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 29.09.2004 um 12:02 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.09.2004, 12:53
...neu hier

Beiträge: 6
#129 @ Sabina

So hier ist meine ganze Meldung:

1.
"Ploetzlich hast du einen Proxy...ist das so eingestellt , also korrekt ????
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost" - es ist nicht mehr da, ich weiss nicht was es bedeutete

2. "#Deinstalliere:
C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
und loesche:MYSRCHAS.DLL
Open 'Add/Remove Programs' in the Control Panel. Select the 'My Search Bar' (MySearch variant), 'MyWay Speed Bar' (MyWay) or 'My Web Search Bar' (MyWeb) entry and click 'Remove'. For the MyWeb variant, be sure to also remove 'Fun Web Products Easy Installer'" -
ich kann maniuell das MYSRCHAD.dll loeschen, abe durch "add/Remove programs" es geht nicht, ich bekomme Fehlermeldung C:\Program Files\MyWay\MyBar\1.bin\MYBAR.DLL could not be found.

/die andere Files in der C:\Program Files\MyWay sollen da bleiben? Was sind es fur Sachen?/

3. so. ich habe alles anderes so gemacht wie du mir geschrieben hast.
Wie soll es weitergehen? Ich habe gemerkt, dass diese Proxy ist wieder da.
Ist das Problem ernst?
il_dee

Ants:
Port 135 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden
Port 445 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden
Port 1025 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden
Port 1027 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden
Port 3001 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden
Port 3002 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden
Port 3003 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden
Port 5000 offen. Wahrscheinlicher Trojaner: Socket23

mein hijack:

Logfile of HijackThis v1.97.7
Scan saved at 1:55:42, on 28.9.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Common Files\Microsoft
Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\il_dee\LOCALS~1\Temp\Rar$EX04.i00\HijackThis.exe

R1 -
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = localhost
O2 - BHO: (no name) -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) -
{53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
Seitenanfang Seitenende
29.09.2004, 15:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#130 Hallo @il_dee

Fixe:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = localhost

neustarten

#Gehe in die Registry

Start<Ausfuehren<regedit --««poste, ob es einen Eintrag rechts neben diesen Schluesseln gibt:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Internet Settings]
Value Name: "ProxyServer", "ProxyEnable", "ProxyOverride"
___________________________________________________________________
#In der Taskleiste rufe auf: Start -> Einstellungen -> Systemsteuerung auf
# Doppelklick auf Internetoptionen
# Klicke auf Verbindungen<Einstellungen fuer das lokale Netzwerk (LAN)

Nimm das Haekchen von : Proxyserver verwenden < raus !!!

__________________________________________________________________________

#Loesche:
<D:\hardrisk-D\getrt45d.exe
<NPMYWAY.DLL
<C:\WINDOWS\system32\msgrsv32.exe

#Lade dieses Tool und fuehre es aus:
Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'

#Deinstalliere voruebergehend deinen Virenscanner "Grisoft\AVG6
" (ist wahrscheinlich zerstoert) und lade:
#Antivirus (free) laden
http://www.free-av.de/
Konfigurieren.<alle Dateien und Heuristik: mittel (im Scanner UND im Guard (!) und noch mal einen Komplettscann machen

#Scanne noch mal mit "escan" im Normalmodus und poste alles, was noch gefunden wurde.

mfg
Sabina
_________________________________________________________________________
http://www.winguides.com/registry/display.php/292/
C:\WINDOWS\system32\msgrsv32.exe infected by "TrojanProxy.Win32.Ranky.aj"
http://vic.zonelabs.com/tmpl/body/CA/virusDetails.jsp?VId=38225
http://www.lrz-muenchen.de/services/netzdienste/proxy/socks-config/
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 29.09.2004 um 16:16 Uhr von Sabina editiert.
Seitenanfang Seitenende
30.09.2004, 03:06
...neu hier

Beiträge: 6
#131 @Sabina

1. in Registry ich habe nur einen von der drei: "ProxyEnable". Rechts ist REG_DWORD und 0x00000000(0) geschrieben

2. "#In der Taskleiste rufe auf: Start -> Einstellungen -> Systemsteuerung auf
# Doppelklick auf Internetoptionen
# Klicke auf Verbindungen<Einstellungen fuer das lokale Netzwerk (LAN)

Nimm das Haekchen von : Proxyserver verwenden < raus !!!!"

Ich hatte kein Hackhen da!!!


3. escan-Resultat: 700-mal hat Virus gemeldet, wieder den "BkCln.Unknown" bei .doc dokumenten.
Einige Beispiele:
File C:\Documents and Settings\All Users\Start Menu\Programs\Nástroje balíka Microsoft Office\Aktivovat produkt.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\All Users\Start Menu\Otvorit dokument balíka Office.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\All Users\Documents\Ericsson\ERICSSON SLOVAKIA spol-ponuka - Rožnava-základy.doc infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\All Users\Documents\Ericsson\ERICSSON SLOVAKIA spol-ponuka - Rožnava.doc infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Ausserdem war alles OK.
Seitenanfang Seitenende
30.09.2004, 10:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#132 Hallo@il_dee

Poste bitte noch mal das aktuelle Log vom HijackThis...um zu sehen, ob der Proxy weg ist.
(ich hoffe, dass der Escan deine Dokumente nicht unbrauchbar gemacht hat......)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 30.09.2004 um 10:19 Uhr von Sabina editiert.
Seitenanfang Seitenende
30.09.2004, 18:33
...neu hier

Beiträge: 6
#133 @Sabina

Hallo, ich denke die Dokumente sind OK. (naturlich ich habe sie alle nicht kontrolliert)

Mein hijack-log:

Logfile of HijackThis v1.97.7
Scan saved at 18:25:57, on 30.9.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\DOCUME~1\il_dee\LOCALS~1\Temp\Rar$EX0s.d10\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Es konnte schon OK sein, oder?

il_dee
Seitenanfang Seitenende
30.09.2004, 18:49
Moderator

Beiträge: 7805
#134 Das sieht schon nicht schlecht aus. Du koenntest noch dein Windows via www.windowsupdate.com aktualisieren. Aktualisiere vorher noch dein Antivir.


Alles weitere bitte per PM klaeren, da wir doch stark vom eigentlichen Thema abgekommen sind.... ;)


....und zu!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende