|
trojan 32.qhost ich habe diesen 2x in win/sys32 dateien mit mehreren scanner schon entdeckt, nur fixqhost kann ihn nicht entdecken und löschen! was soll ich noch versuchen? Logfile of HijackThis v1.98.2 Scan saved at 12:41:40, on 22.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\cidaemon.exe C:\PROGRA~1\MOZILL~1.3\Mozilla.exe C:\Dokumente und Einstellungen\e\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.3\Mozilla.exe" -turbo O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {B738BD2D-5AC0-4C62-B02C-A3FE8A5D39D7} (AXReader Class) - file://D:\Content\Prokoda\XP\plugin\ad32ax.cab |
Wo wird der Trojaner gefunden? Pfadangabe! Poste mal ein Log der aktuellen Version von HijackThis 1.99 . |
danke vorab!!! also, bug ist hier: File C:\WINDOWS\system32\drivers\etc\1.hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken. hier der neue log: Logfile of HijackThis v1.99.0 Scan saved at 10:33:18, on 23.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Mozilla1.7.3\Mozilla.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\WinAce\WinAce.exe C:\DOKUME~1\e\LOKALE~1\Temp\~AceTemp\hijackthis199\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.3\Mozilla.exe" -turbo O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {B738BD2D-5AC0-4C62-B02C-A3FE8A5D39D7} (AXReader Class) - file://D:\Content\Prokoda\XP\plugin\ad32ax.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Norton AntiVirus Firewall Monitor Service - Unknown - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe (file missing) O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
@emi gebe HJT bitte einen eigenen ordner lese dich hier erst duch http://www.sophos.de/virusinfo/analy...ojqhosts1.html lass mal den virenscanner in den abgesicherten modus laufen, der musste es eigentlich richten in abgesicherten modus mit HJT fixen O23 - Service: Norton AntiVirus Firewall Monitor Service - Unknown - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe (file missing) neu starten |
mit HJT hab ichs gefixt. aber: im abgesichrten konnten weder fixqhost noch antivir den trojan finden! wie krieg ich den mist noch weg? escan erkennt zwar, kanns aber nicht löschen, weil ichs nicht gekauft habe. bitte um weitere ratschläge, krieg diese dinger einfach nicht los!!!!!!!!!! :headbang: |
Wenn du die unbedingt loskriegen willst, dann lösche sie halt manuell im abg. Modus. :p |
ok! ich kann also C:\WINDOWS\system32\drivers\etc\1.hosts C:\WINDOWS\system32\drivers\etc\hosts GEFAHRLOS für das system löschen? die ganzen dateien? oder war das ne weihnachtsverarsche? im sys32 sind ja recht sensible dats! :confused: |
Hallo emi, weisst Du denn schon, dass es diese beiden Dateien sind, die infiziert sind? Was erkennt eScan denn? Gib doch bitte mal das Ergebnis des eScan hier ins Forum: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) Und, ich möchte gerne, dass Du diese beiden Dateien online untersuchst, bevor Du sie löscht: virusscan.jotti.dhs.org. Was ist dabei rausgekommen? Lieben Gruss und frohe Weihnachten! SD |
Zitat:
escan und dein online scan haben sie mir als infected angezeigt! fixqhost gar nix! wenn ich im escanlog nach infected suche: Thu Dec 02 10:19:26 2004 => Total Files Scanned: 8517 Thu Dec 02 10:19:26 2004 => Total Virus(es) Found: 0 Thu Dec 02 10:19:26 2004 => Total Disinfected Files: 0 ich hab jetzt mal den "1.hosts" komplett gelöscht, beim "hosts" file hab ich alles bis auf 127.0.0.1 localhost gelöscht. gelöscht habe ich dort: 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 us.mcafee.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 us.mcafee.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com ich starte ihn jetzt neu, wenn ihr nix mehr von mir hört..... frohes fest auf jeden fall..... :lmaa: |
Zitat:
Ich übersetz mal: frohes Fest auf jeden Fall und leckt mich am Ars.. Tolle Show :lach: |
Zitat:
:confused: |
Misch mich mal kurz ein... @ emi: Du hast Dir für Deine Weihnachstgrüße im post von heute, 17.17 Uhr den "A...loch-Smiley" ausgesucht... Schau mal genau (und etwas länger) hin. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board