As my german is not that good, i'll have to write this in english, i apologize. My virusscanner detects every time the following Trojan Horse TR Zapchast: C:\windows\system32\drivers\stubhq.sys. I don't know much about computers and I did the Highjack this scan and the result is as follows:

Logfile of HijackThis v1.99.1
Scan saved at 11:58:47, on 26-3-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\qyacc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\SYSINFO\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AonInformer\informer.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
c:\WINDOWS\System32\wltrysvc.exe
c:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\Ewald\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\SYSINFO\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [jservice] C:\Program Files\AonInformer\informer.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Shortcut to Mijn muziek.lnk = ?
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0971D05-AD58-49F9-A502-8966CCEF7EFA}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: qyacc - Unknown owner - C:\WINDOWS\System32\qyacc.exe
O23 - Service: WLTRYSVC - Unknown owner - c:\WINDOWS\System32\wltrysvc.exe

What should I do next? Thank you in advance!!

@Koolaid
My english is not that good, so I try to answer in Dutch

ik vermoed, dat jouw probleem hier zit.
C:\WINDOWS\System32\qyacc.exe
O23 - Service: qyacc - Unknown owner - C:\WINDOWS\System32\qyacc.exe

stuur deze file C:\WINDOWS\System32\qyacc.exe
naar www.malwareupload.com
poste het antwoord hier in het forum


downloade escan
download
gebruiksaanwijzing(duits)

chaosman

Hoi Chaosman,

Bedankt voor je snelle reactie en fantastisch dat je me zelfs in het nederlands kan helpen. Ik heb je instructies gevolgd en het probleem is inderdaad qyacc.exe. Het antwoord van Malwareupload.com ziet er als volgt uit:

We have checked your file qyacc.exe an get the following result:
Backdoor.Masteseq.ai

De log van de e-scan ziet er als volgt uit:

File C:\WINDOWS\System32\qyacc.exe infected by "Backdoor.Win32.Masteseq.ai" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\qyacc.exe infected by "Backdoor.Win32.Masteseq.ai" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\tmp1.com infected by "Worm.Win32.Wilab.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\drivers\stubhq.sys infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\tmp1.com infected by "Worm.Win32.Wilab.b" Virus. Action Taken: No Action Taken.
File C:\Program Files\AVPersonal\INFECTED\ZZZXENWY.EXE.VIR infected by "Net-Worm.Win32.DipNet.f" Virus. Action Taken: No Action Taken.
File C:\Program Files\AVPersonal\INFECTED\ZZZXNSLI.EXE.VIR infected by "Trojan-Proxy.Win32.Agent.dp" Virus. Action Taken: No Action Taken.
File C:\Program Files\AVPersonal\INFECTED\videopci.VIR infected by "Trojan-Downloader.Win32.Agent.cw" Virus. Action Taken: No Action Taken.
File C:\Program Files\AVPersonal\INFECTED\fkyssm.VIR infected by "Backdoor.Win32.Rbot.ho" Virus. Action Taken: No Action Taken.
File C:\Program Files\AVPersonal\INFECTED\fkyssm.VIR00 infected by "Backdoor.Win32.Rbot.ho" Virus. Action Taken: No Action Taken.

Dus volgens mij heb ik ook nog wat andere infecties. Wat kan ik nu als beste doen? Als ik een registered versie van MWAV aanschaf, lukt het dan om het allemaal te verwijderen of is er mischien nog een andere manier? Alvast bedankt en hoop weer wat van je te horen. Groeten, Koolaid

@Koolaid
Bedankt voor je snelle reactie en fantastisch dat je me zelfs in het nederlands kan helpen
er zijn hier meer die nederlands spreken.

je heeft niet alleen backdoor Masteseq.ai
maar ook deze hier in jouw systeem
http://www.sophos.com/virusinfo/analyses/w32rbotho.html

het betekent dat een ander jouw systeem overgenomen heeft.
jouw systeem is gecompromiteert, niet meer te vertrouwen.

jij kann alleen maar Format c maken, en jouw systeem nieuw installeren.
hier een kleine hulp(is in het duits, als jij problemen hebt met de vertaling dan laat mij het per PN weten)
http://www.trojaner-board.de/showpos...28&postcount=2

Als ik een registered versie van MWAV aanschaf, lukt het dan om het allemaal te verwijderen of is er mischien nog een andere manier?
bij een backdoor neem je geen risiko. format c is de enige oplossing.
sry
chaosman

Chaosman,

Bedankt voor de info, ik heb wel back-up's maar die zijn helaas gemaakt na de trojan horse infectie. Het zijn alleen mp3, jpg en word/excell bestanden. Kan ik na het formateren deze bestanden weer terug op mijn pc zetten of is er dan infectie gevaar? Ik ga binnenkort dan maar aan de slag, weinig zin in maar ik begrijp dat het moet. Groeten

Ewald