win32.small.qi-bitte um Hilfe.

eifelvulkane · 20.04.2005, 07:16

Hilfe!!

Folgender Eintrag nach escan im abgesicherten Modus.

=> File C:\WINNT\SYSTEM32\update.exe infected by "Trojan-Downloader.Win32.Small.qi" Virus. Action Taken: No Action Taken.

Laie. Keine Ahnung wie ich das Ding weg bekomme.

Bin für jede Hilfe dankbar.

Gruß
Hans

Rene-gad · 20.04.2005, 11:44

@eifelvulkane
Bitte über Task-Manager (Strg+Alt+Entf - Tasten gleichzeitig drücken="Affengriff")/Prozesse Prozess mit dieser Datei beenden, Datei manuell löschen. Danach HJT-Log (www.hijackthis.de) hier posten.

eifelvulkane · 20.04.2005, 13:33

Zitat:

Zitat von Rene-gad

@eifelvulkane
Bitte über Task-Manager (Strg+Alt+Entf - Tasten gleichzeitig drücken="Affengriff")/Prozesse Prozess mit dieser Datei beenden, Datei manuell löschen. Danach HJT-Log (www.hijackthis.de) hier posten.

Danke schom mal. Aber welche Datei mit "Prozess beenden" löschen.

Rene-gad · 20.04.2005, 13:41

Zitat:

Zitat von eifelvulkane

Danke schom mal. Aber welche Datei mit "Prozess beenden" löschen.

Diese C:\WINNT\SYSTEM32\update.exe über Windows-Explorer

eifelvulkane · 20.04.2005, 14:18

Zitat:

Zitat von Rene-gad

Diese C:\WINNT\SYSTEM32\update.exe über Windows-Explorer

Logfile of HijackThis v1.99.1
Scan saved at 15:16:09, on 20.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Hier die log

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\webhan\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.45.254.253:3128
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe

chaosman · 20.04.2005, 14:51

@eifelvulkane

falls du diesen eintrag nicht kennst,
dann in den abgesicherten modus gehen und mit HJT fixen
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.45.254.253:3128

hast du diesen datei gelöscht?
C:\WINNT\SYSTEM32\update.exe

chaosman

Rene-gad · 20.04.2005, 17:23

@chaosman

Zitat:

falls du diesen eintrag nicht kennst,
dann in den abgesicherten modus gehen und mit HJT fixen
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.45.254.253:3128

Wenn er/sie deinem Rat folgen würde, sehen wir ihn/sie nicht mehr

. Es ist IP-Adresse beim I-Net-Connection über Proxy-Server (Standard-Port 3128).

eifelvulkane · 21.04.2005, 06:58

Zitat:

Zitat von Rene-gad

@chaosman

Wenn er/sie deinem Rat folgen würde, sehen wir ihn/sie nicht mehr

. Es ist IP-Adresse beim I-Net-Connection über Proxy-Server (Standard-Port 3128).

Bin Rat nicht gefolgt, da ich diesen Eintrag früher schon mal gelöscht habe und das Ergebnis hast du ja beschrieben.

C:\WINNT\SYSTEM32\update.exe ist gelöscht. Alles wieder in Ordnung. Alles? Ich hoffe es.

Vielen Dank!

win32.small.qi-bitte um Hilfe.

Plagegeister aller Art und deren Bekämpfung: win32.small.qi-bitte um Hilfe.