Trojan.Win32.Qhost.z

netbus · 19.11.2004, 13:26

Ich hab mir kürzlich einen Trojaner namens "Trojan.Win32.Qhost.z" eingefangen.
Wie, weiß ich nicht, aber ich schätze mal, dass ich mir davor einen Trojaner-Downloader eingefangen habe.
Mein Virenscanner hat alle 75 Trojaner auf meiner Platte gefunden und eliminiert ausser diesen einen. Alle 10-15 minuten findet er dann immer wieder diesen Trojaner, selbst wenn ich offline bin.
Gibtz einen Hotfix? Hab schon nachgeschaut, aber nix gefunden!

steveman · 19.11.2004, 13:29

Hallo,

Hole dir HijackThis und poste bitte eine Log.

netbus · 19.11.2004, 13:36

Logfile of HijackThis v1.98.2
Scan saved at 13:33:53, on 19.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINNT\Explorer.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\BackWeb-4476822.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe
O4 - HKLM\..\Run: [MSO] C:\WINNT\system32\MSO\sysnew.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...693e854e5c9a60
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B20CC29B-853E-4A36-823D-24249D720BA1}: NameServer = 192.168.1.1,192.168.1.1

steveman · 19.11.2004, 13:43

Hallo,

das solltest du fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...d693e854e5c9a60

netbus · 19.11.2004, 22:56

Ich habe die angegebenen Dateien gefixt, aber der Trojaner kommt noch immer auf meinen Rechner.
Kann ich noch was anderes tun.

Lidius · 19.11.2004, 22:57

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

netbus · 20.11.2004, 01:15

C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\dial[1].htm infected by "TrojanDownloader.JS.Psyme.t" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\ied_s7m[1].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\ied_s7m[3].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\main[1].chm infected by "TrojanDownloader.JS.Weis.b" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\online[1].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\online[2].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\online[3].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:37:48 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\dial[1].htm infected by "TrojanDownloader.JS.Psyme.t" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[1].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[3].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:11 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\main[1].chm infected by "TrojanDownloader.JS.Weis.b" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:18 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\online[1].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:18 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\online[2].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:18 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\online[3].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:53:59 2004 => File C:\WINNT\system32\drivers\etc\HOSTS.0 infected by "Trojan.Win32.Qhost.z" Virus. Action Taken: No Action Taken.

Lidius · 20.11.2004, 01:24

Lade dir das Programm clearprog www.clearprog.de herunter und lösche damit deinen temporäre internet dateien.

Lass dir versteckte Dateien anzeigen:
Klick auf Arbeitsplatz ->Extras ->Ansicht
Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

Lösche diese datei per hand im abgesicherten modus bei deaktivierter Systemwiederherstellung. VORSICHT! Nur diese Datei, nicht die andere hosts datei die sich in dem verzeichnis befindet löschen! (falls sich dort nur eine datei befindet nochmal melden)

Sat Nov 20 00:53:59 2004 => File C:\WINNT\system32\drivers\etc\HOSTS.0 infected by "Trojan.Win32.Qhost.z" Virus. Action Taken: No Action Taken.

netbus · 20.11.2004, 01:43

So ist es, es befindet sich nur die HOSTS.0 im Verzeichnis

Shadowdance · 20.11.2004, 03:59

... *schaut Lidius gespannt an ;-) *

SD

netbus · 20.11.2004, 22:48

Was ist jetzt mit der HOSTS - Datei?
Brauche ich die andere Datei oder nicht?
Mein Ordner beinhaltet immer noch nur die HOSTS.0.
Aber seither ist keine Meldung mehr gekommen.
Und funktionieren tut alles wie früher.

Lidius · 20.11.2004, 22:50

Könnte jemand anderes da mal was zu sagen, bin mir da etwas unsicher.

netbus · 20.11.2004, 23:03

Wenn sonst alles geht, ist es ja eigentlich Wurscht, denk ich mir mal so.
Vielleicht erstellt Windows die Datei neu.
Ich weiß es nicht, hab so was ja noch nie gehabt.
Aber bis jetzt läuft alles wie es laufen soll und Meldung kam auch nich mehr.

Cidre · 20.11.2004, 23:19

@ Lidius

Siehe http://www.f-secure.de/v-desk/qhost.shtml

Lidius · 20.11.2004, 23:25

Dem link zufolge kannst du die Hosts.0 also löschen (Danke Cidre)

20.11.2004, 23:19	#14
Cidre Administrator, a.D.	Trojan.Win32.Qhost.z @ Lidius Siehe http://www.f-secure.de/v-desk/qhost.shtml __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Trojan.Win32.Qhost.z

Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.Qhost.z