|
Plagegeister aller Art und deren Bekämpfung: Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.aWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.11.2004, 14:24 | #1 |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a hab bei mir mit dem bitdefender onlinescan einen ungebetenen gast gefunden den ich nicht loswerde. hab dann verschiedene tools ausprobiert und auf einmal immer mehr gefunden. leider bekomme ich das gesindel nicht los, vielleicht kann mir hier ja jemand helfen. hier mal die logs: eScan: Fri Nov 26 19:22:24 2004 => File C:\WINDOWS\default.css infected by "TrojanClicker.Win32.Qhost.a" Virus. Action Taken: No Action Taken. Fri Nov 26 19:30:11 2004 => File C:\DOKUME~1\encalion\LOKALE~1\Temp\isearch.exe infected by "TrojanSpy.Win32.Briss.l" Virus. Action Taken: No Action Taken. Fri Nov 26 19:34:38 2004 => File C:\DOKUME~1\encalion\LOKALE~1\TEMPOR~1\Content.IE5\0HEVS123\CANU0RRT.htm infected by "TrojanDownoader.JS.FlingStone" Virus. Action Taken: No Action Taken. Fri Nov 26 21:01:54 2004 => File C:\DOKUME~1\encalion\LOKALE~1\TEMPOR~1\Content.IE5\FDNN2G1C\prompt[1].php infected by "TrojanDropper.JS.Gen" Virus. Action Taken: No Action Taken. Fri Nov 26 21:24:33 2004 => File C:\DOKUME~1\encalion\LOKALE~1\TEMPOR~1\Content.IE5\K7TJIURD\bridge-c18[1].cab infected by "TrojanDownloader.Win32.Briss.a" Virus. Action Taken: No Action Taken. Fri Nov 26 23:11:20 2004 => File C:\Dokumente und Einstellungen\encalion\Lokale Einstellungen\Temp\isearch.exe infected by "TrojanSpy.Win32.Briss.l" Virus. Action Taken: No Action Taken. Fri Nov 26 23:15:46 2004 => File C:\Dokumente und Einstellungen\encalion\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HEVS123\CANU0RRT.htm infected by "TrojanDownoader.JS.FlingStone" Virus. Action Taken: No Action Taken. Sat Nov 27 00:40:48 2004 => File C:\Dokumente und Einstellungen\encalion\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FDNN2G1C\prompt[1].php infected by "TrojanDropper.JS.Gen" Virus. Action Taken: No Action Taken. Sat Nov 27 01:02:30 2004 => File C:\Dokumente und Einstellungen\encalion\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K7TJIURD\bridge-c18[1].cab infected by "TrojanDownloader.Win32.Briss.a" Virus. Action Taken: No Action Taken. Sat Nov 27 03:12:40 2004 => File C:\WINDOWS\default.css infected by "TrojanClicker.Win32.Qhost.a" Virus. Action Taken: No Action Taken. Logfile of HijackThis v1.98.2 Scan saved at 10:38:55, on 27.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\SOUNDMAN.EXE C:\ATI-CPanel\atiptaxx.exe C:\SCANJET\PrecisionScanLT\hppwrsav.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\mIRC\mirc.exe C:\Programme\Trillian\trillian.exe C:\Programme\Windows Media Player\wmplayer.exe C:\DOKUME~1\encalion\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\encalion\LOKALE~1\Temp\kavss.exe C:\WINDOWS\System32\notepad.exe C:\MyDownloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scherbenwelten.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsmart.tv/search F1 - win.ini: run=msinfo.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [C:\WINDOWS\System32\iozahiq.dll] C:\WINDOWS\System32\iozahiq.dll /c del ÉÂ >nul O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .bmp: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {788A7678-38D7-4EEC-9D20-67A86D21A7FD} (Webupdate Control) - http://www.htttp.biz/de/webupdate.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab O19 - User stylesheet: (file missing) bitte bitte helft mir *heul zeter* und bitte für doofe erklären ;-) |
27.11.2004, 14:30 | #2 |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a Hi, enca,
__________________erst mal clearprog 1.4.0 final runterladen, auf "alles löschen" clicken, dann beenden, dann sind alle temp und temp.internet files leer, und damit alles weg, was der eScan gefunden hat. Dann kommt Dein Logfile dran, bitte laß mir dafür ein paar Minuten Zeit. cacatoa
__________________ |
27.11.2004, 14:38 | #3 |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a Das hier im abgesicherten Modus fixen:
__________________R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsmart.tv/search Folgende bei Jotti online scannen: C:\SCANJET\PrecisionScanLT\hppwrsav.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PS W.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePs w.EXE C:\WINDOWS\System32\iozahiq.dll /c del ÉÂ >nul Kennst du das: O16 - DPF: {788A7678-38D7-4EEC-9D20-67A86D21A7FD} (Webupdate Control) - http://www.htttp.biz/de/webupdate.cab wenn nicht, dann fixen. Dies auch, wenn der IE ungewohnt langsam ist: O19 - User stylesheet: (file missing) Dein System ist nicht upgedated, so fängt man sich gerne was ein.... cacatoa
__________________ |
27.11.2004, 15:29 | #4 |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a danke für die schnelle hilfe! allerdings hab ich jetzt schon die ersten probleme (wie gesagt, brauch ne erklärung für idioten *gg*) also zunächst einmal hängt sich clearprog immer auf :-( und dann hab ich mich gefragt was mit "im abgesicherten modus fixen" bedeutet? heisst es pc neustarten und da dann in den abgesicherten modus gehen? und zu guter letzt: wo oder wie kann ich das system updaten? |
27.11.2004, 15:32 | #5 | |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.aZitat:
in den abgesicherten Modus gehen, HjT laufen lassen, Häkchen setzen und auf "fix checked" klicken. www.windowsupdate.com |
27.11.2004, 15:40 | #6 |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a @ enca: Was ist mit dem Ergebnis von Jotti?
__________________ --> Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a |
27.11.2004, 16:23 | #7 |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a bei erstem kam kein virus, alles ok. bei den anderen drei kam folgendes: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file |
27.11.2004, 16:25 | #8 |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a Ich denke mal, Zone alarm verhindert den upload. Du kannst nur für diesen einen Upload, um die Datei an Jotti zu senden, mal die Firewall deaktivieren. Wenn es dann immer noch nicht geht, dann haben wir ein Problemchen...
__________________ Der Mensch sollte eine Hundeseele haben |
27.11.2004, 16:30 | #9 |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a hatte ich bereits probiert... in dem fall haben wir ein problem |
27.11.2004, 16:39 | #10 |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a Mach bitte im abgesicherten Modus einen eScan (mwav.exe runterladen) beachte die Anleitung genau und teile mit, was er gefunden (und vernichtet) hat.
__________________ Der Mensch sollte eine Hundeseele haben |
27.11.2004, 17:23 | #12 |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a das macht gar nichts, einfach updaten und laufen lassen.
__________________ Der Mensch sollte eine Hundeseele haben |
27.11.2004, 17:37 | #13 |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a wieder eine blöde frage *g*: wie update ich das? bekomme es ums verrecken nicht zum laufen.. |
27.11.2004, 17:44 | #14 |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a Doppelklick auf C:\bases\kavupd.exe |
27.11.2004, 17:45 | #15 |
| Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a Hallo, enca, in meinem Post von vorhin steht: Die Anleitung beachten. Dort steht es ganz genau drin. Ordner "bases" erstellen etc... Schau noch mal nach
__________________ Der Mensch sollte eine Hundeseele haben |
Themen zu Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a |
adobe, auf einmal, bho, content.ie5, defender, drivers, dsl, einstellungen, escan, excel, explorer, file, file missing, google, hijack, hijackthis, home, icq, infected, internet, internet explorer, logfile, microsoft, programme, software, system, temp, windows, windows xp |