|
Bin am verzweifeln... Hallo allerseits, Ein Bekannter von mir hat folgendes Problem: Wenn er den IE öffnet schlägt sofort Antivir an und meldet folgenden Virus "Trojan.Win32.Qhost.qr", der folgende Datei infiziert haben soll "C:\WINDOWS\system32\hclean32.exe". Das Komische dabei ist, diese Datei gibt es auf dem Rechner nicht (habe exakt nachgesehen => versteckte Dateien sichtbar machen usw.). Ein Scan mit Hijackthis konnte mir auch nicht großartig weiterhelfen, wie folgender Auszug zeigt: Logfile of HijackThis v1.99.1 Scan saved at 18:20:24, on 10.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Uwe\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1122474965156 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ein Scan mit einem externen Virenscanner (Trendmicro housecall) in den betreffenden Verzeichnissen war erfolglos. Jetzt mal die Frage: Kann es sein, das mein Antivir Geister sieht, die es gar nicht gibt? Was übrigens auch seltsam ist, beim Systemstart befindet sich, obwohl eigentlich nicht ausgeführt, eine Instanz des IE im Taskmanager. Genauso wird leise, still und heimlich die "ipconfig.exe" ausgeführt. Vielleicht habt Ihr noch ein paar Ideen (mal abgesehen von einem anderen Virenscanner), wie ich das Problem beseitigt kriege ohne das System neu aufzusetzen. Gruß Schmaler |
Hallo, Zitat:
Zitat:
Andere Vorschläge: Überprüfe was von deinem Rechner so nach außen kommuniziert, z.B. mit TCP-View oder CurrPorts. http://www.sysinternals.com/Utilities/TcpView.html http://www.nirsoft.net/utils/cports.html Schau die laufenden Prozesse an, z.B. mit dem Process Explorer oder vielleicht sogar besser mit dem Security Task Manager. http://www.sysinternals.com/Utilitie...sExplorer.html http://www.neuber.com/taskmanager/deutsch/ Kopiere den Pfad "C:\WINDOWS\system32\hclean32.exe" in das weiße Kästchen auf der Seite http://virusscan.jotti.org/de und klicke auf "Abschicken". Überprüfe die Autostarteinträge mit StartDreck: http://www.niksoft.at/download/startdreck.htm HTH Ansonsten einfach noch mal melden. BTW: Das HjT-Log schaut sauber aus. |
Das gleicht Problem hab ich auch! Wenn ich in einem Ordner oder auf dem Desktop eine jedoch eine Textdatei erstelle und diese hclean32.exe nenne verschwindet diese, und der Ordner lässt sich nicht mehr löschen! Kann mir jemand helfen? |
@ Anst Warum benennst du die Textdatei eigentlich hclean32.exe? Gibt es hierfür ein trifftigen Grund?! |
Meine Idee war, die Datei durch ersetzen im System32 Ordner zu löschen. Um dies zu tun habe ich das erste mal eine Textdatei in hclean32.exe auf dem Desktop umbenannt. Als diese dann verschwunden ist habe ich einen Neuern Ordner erstellt, in dem ich das ganze mit der Textdatei wiederholt habe. Wieder ist sie verschwunden, und der Ordner lässt sich nun nicht mehr löschen! Was kann ich tun? |
Versuche es mal mit folgenden Tools: KillBox, Total Commander oder Amok DelayDel Ansonsten könnte ein HJT Log-File und die Virus Log Information von eScan ganz hilfreich sein. Beide Anleitung sind im jeweiligen Unterforum gepinnt. |
Hab heute meinen Computer angemacht und siehe da: Die hclean32.exe ist auf dem Desktop, in dem Ordner und unter System32 zu sehen! Hab sie sofort gelöscht und alles funktioniert wieder super! Hab dann noch ein paar Virenscans drüber laufen lassen, und jetzt ist alles wieder in Ordnung! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board