ich habe diesen 2x in win/sys32 dateien mit mehreren scanner schon entdeckt, nur fixqhost kann ihn nicht entdecken und löschen!
was soll ich noch versuchen?

Logfile of HijackThis v1.98.2
Scan saved at 12:41:40, on 22.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\MOZILL~1.3\Mozilla.exe
C:\Dokumente und Einstellungen\e\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.3\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B738BD2D-5AC0-4C62-B02C-A3FE8A5D39D7} (AXReader Class) - file://D:\Content\Prokoda\XP\plugin\ad32ax.cab

Wo wird der Trojaner gefunden? Pfadangabe!
Poste mal ein Log der aktuellen Version von HijackThis 1.99 .

danke vorab!!!

also,

bug ist hier:

File C:\WINDOWS\system32\drivers\etc\1.hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.

hier der neue log:

Logfile of HijackThis v1.99.0
Scan saved at 10:33:18, on 23.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Mozilla1.7.3\Mozilla.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\e\LOKALE~1\Temp\~AceTemp\hijackthis199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.3\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B738BD2D-5AC0-4C62-B02C-A3FE8A5D39D7} (AXReader Class) - file://D:\Content\Prokoda\XP\plugin\ad32ax.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Norton AntiVirus Firewall Monitor Service - Unknown - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe (file missing)
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@emi
gebe HJT bitte einen eigenen ordner
lese dich hier erst duch
http://www.sophos.de/virusinfo/analy...ojqhosts1.html
lass mal den virenscanner in den abgesicherten modus laufen, der musste es eigentlich richten

in abgesicherten modus mit HJT fixen
O23 - Service: Norton AntiVirus Firewall Monitor Service - Unknown - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe (file missing)
neu starten

mit HJT hab ichs gefixt.

aber:

im abgesichrten konnten weder fixqhost noch antivir den trojan finden!

wie krieg ich den mist noch weg?
escan erkennt zwar, kanns aber nicht löschen, weil ichs nicht gekauft habe.

bitte um weitere ratschläge, krieg diese dinger einfach nicht los!!!!!!!!!!

Wenn du die unbedingt loskriegen willst, dann lösche sie halt manuell im abg. Modus.

ok!

ich kann also

C:\WINDOWS\system32\drivers\etc\1.hosts
C:\WINDOWS\system32\drivers\etc\hosts

GEFAHRLOS für das system löschen? die ganzen dateien?

oder war das ne weihnachtsverarsche? im sys32 sind ja recht sensible dats!

Hallo emi,

weisst Du denn schon, dass es diese beiden Dateien sind, die infiziert sind? Was erkennt eScan denn? Gib doch bitte mal das Ergebnis des eScan hier ins Forum: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Und, ich möchte gerne, dass Du diese beiden Dateien online untersuchst, bevor Du sie löscht: virusscan.jotti.dhs.org. Was ist dabei rausgekommen?

Lieben Gruss und frohe Weihnachten!

SD

Zitat:

Zitat von Shadowdance

Hallo emi,

weisst Du denn schon, dass es diese beiden Dateien sind, die infiziert sind? Was erkennt eScan denn? Gib doch bitte mal das Ergebnis des eScan hier ins Forum: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Und, ich möchte gerne, dass Du diese beiden Dateien online untersuchst, bevor Du sie löscht: virusscan.jotti.dhs.org. Was ist dabei rausgekommen?

Lieben Gruss und frohe Weihnachten!

SD

escan und dein online scan haben sie mir als infected angezeigt!
fixqhost gar nix!

wenn ich im escanlog nach infected suche:

Thu Dec 02 10:19:26 2004 => Total Files Scanned: 8517
Thu Dec 02 10:19:26 2004 => Total Virus(es) Found: 0
Thu Dec 02 10:19:26 2004 => Total Disinfected Files: 0

ich hab jetzt mal den "1.hosts" komplett gelöscht,
beim "hosts" file hab ich alles bis auf

127.0.0.1 localhost

gelöscht.

gelöscht habe ich dort:

127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 us.mcafee.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com






127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 us.mcafee.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com


ich starte ihn jetzt neu,
wenn ihr nix mehr von mir hört.....

frohes fest auf jeden fall.....

Zitat:

frohes fest auf jeden fall.....

Na, da hast du dir ja den besten Smiley ausgesucht, Respekt!
Ich übersetz mal:
frohes Fest auf jeden Fall und leckt mich am Ars..

Tolle Show

Zitat:

Zitat von Cidre

Na, da hast du dir ja den besten Smiley ausgesucht, Respekt!
Ich übersetz mal:
frohes Fest auf jeden Fall und leckt mich am Ars..

Tolle Show

versteh ich jetzt jetzt nicht ganz wie st das meinst?

Misch mich mal kurz ein...
@ emi:
Du hast Dir für Deine Weihnachstgrüße im post von heute, 17.17 Uhr den "A...loch-Smiley" ausgesucht...
Schau mal genau (und etwas länger) hin.