![]() |
|
Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.Qhost.zWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() Trojan.Win32.Qhost.z Ich hab mir kürzlich einen Trojaner namens "Trojan.Win32.Qhost.z" eingefangen. Wie, weiß ich nicht, aber ich schätze mal, dass ich mir davor einen Trojaner-Downloader eingefangen habe. Mein Virenscanner hat alle 75 Trojaner auf meiner Platte gefunden und eliminiert ausser diesen einen. Alle 10-15 minuten findet er dann immer wieder diesen Trojaner, selbst wenn ich offline bin. Gibtz einen Hotfix? Hab schon nachgeschaut, aber nix gefunden! |
![]() | #2 |
![]() ![]() ![]() ![]() | ![]() Trojan.Win32.Qhost.z__________________ |
![]() | #3 |
| ![]() Hijach.this LOG Logfile of HijackThis v1.98.2
__________________Scan saved at 13:33:53, on 19.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\0190 Warner\w0svc.exe C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE C:\WINNT\System32\svchost.exe C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\WINNT\system32\hidserv.exe C:\Programme\F-Secure Internet Security\Common\FCH32.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe C:\WINNT\Explorer.EXE C:\Programme\F-Secure Internet Security\backweb\4476822\Program\BackWeb-4476822.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\F-Secure Internet Security\Common\FSM32.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Program Files\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe O4 - HKLM\..\Run: [MSO] C:\WINNT\system32\MSO\sysnew.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...693e854e5c9a60 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_02) - O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B20CC29B-853E-4A36-823D-24249D720BA1}: NameServer = 192.168.1.1,192.168.1.1 |
![]() | #4 |
![]() ![]() ![]() ![]() | ![]() Trojan.Win32.Qhost.z Hallo, das solltest du fixen: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/ O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...d693e854e5c9a60 |
![]() | #5 |
| ![]() Trojan.Win32.Qhost.z Ich habe die angegebenen Dateien gefixt, aber der Trojaner kommt noch immer auf meinen Rechner. Kann ich noch was anderes tun. |
![]() | #6 |
![]() ![]() ![]() ![]() | ![]() Trojan.Win32.Qhost.z Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen" Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. |
![]() |
Themen zu Trojan.Win32.Qhost.z |
5 minuten, ausser, eliminiert, fix, gefunde, hotfix, immer wieder, loader, minute, minuten, namens, offline, platte, scan, scanner, schätze, troja, trojaner, virenscan, virenscanner |