Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan.Win32.Qhost.z (https://www.trojaner-board.de/9806-trojan-win32-qhost-z.html)

netbus 19.11.2004 13:26

Trojan.Win32.Qhost.z
 
Ich hab mir kürzlich einen Trojaner namens "Trojan.Win32.Qhost.z" eingefangen.
Wie, weiß ich nicht, aber ich schätze mal, dass ich mir davor einen Trojaner-Downloader eingefangen habe.
Mein Virenscanner hat alle 75 Trojaner auf meiner Platte gefunden und eliminiert ausser diesen einen. Alle 10-15 minuten findet er dann immer wieder diesen Trojaner, selbst wenn ich offline bin.
Gibtz einen Hotfix? Hab schon nachgeschaut, aber nix gefunden!

steveman 19.11.2004 13:29

Hallo,

Hole dir HijackThis und poste bitte eine Log.

netbus 19.11.2004 13:36

Hijach.this LOG
 
Logfile of HijackThis v1.98.2
Scan saved at 13:33:53, on 19.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINNT\Explorer.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\BackWeb-4476822.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe
O4 - HKLM\..\Run: [MSO] C:\WINNT\system32\MSO\sysnew.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...693e854e5c9a60
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B20CC29B-853E-4A36-823D-24249D720BA1}: NameServer = 192.168.1.1,192.168.1.1

steveman 19.11.2004 13:43

Hallo,

das solltest du fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...d693e854e5c9a60

netbus 19.11.2004 22:56

Ich habe die angegebenen Dateien gefixt, aber der Trojaner kommt noch immer auf meinen Rechner.
Kann ich noch was anderes tun.

Lidius 19.11.2004 22:57

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

netbus 20.11.2004 01:15

C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\dial[1].htm infected by "TrojanDownloader.JS.Psyme.t" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\ied_s7m[1].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\ied_s7m[3].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\main[1].chm infected by "TrojanDownloader.JS.Weis.b" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\online[1].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\online[2].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\YZO9MP63\online[3].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:37:48 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\dial[1].htm infected by "TrojanDownloader.JS.Psyme.t" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[1].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[2].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:05 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\ied_s7m[3].chm infected by "TrojanDownloader.JS.Psyme.w" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:11 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\main[1].chm infected by "TrojanDownloader.JS.Weis.b" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:18 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\online[1].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:18 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\online[2].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:38:18 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YZO9MP63\online[3].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
Sat Nov 20 00:53:59 2004 => File C:\WINNT\system32\drivers\etc\HOSTS.0 infected by "Trojan.Win32.Qhost.z" Virus. Action Taken: No Action Taken.

Lidius 20.11.2004 01:24

Lade dir das Programm clearprog www.clearprog.de herunter und lösche damit deinen temporäre internet dateien.

Lass dir versteckte Dateien anzeigen:
Klick auf Arbeitsplatz ->Extras ->Ansicht
Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

Lösche diese datei per hand im abgesicherten modus bei deaktivierter Systemwiederherstellung. VORSICHT! Nur diese Datei, nicht die andere hosts datei die sich in dem verzeichnis befindet löschen! (falls sich dort nur eine datei befindet nochmal melden)

Sat Nov 20 00:53:59 2004 => File C:\WINNT\system32\drivers\etc\HOSTS.0 infected by "Trojan.Win32.Qhost.z" Virus. Action Taken: No Action Taken.

netbus 20.11.2004 01:43

So ist es, es befindet sich nur die HOSTS.0 im Verzeichnis

Shadowdance 20.11.2004 03:59

... *schaut Lidius gespannt an ;-) *

SD

netbus 20.11.2004 22:48

Was ist jetzt mit der HOSTS - Datei?
Brauche ich die andere Datei oder nicht?
Mein Ordner beinhaltet immer noch nur die HOSTS.0.
Aber seither ist keine Meldung mehr gekommen.
Und funktionieren tut alles wie früher. :heilig:

Lidius 20.11.2004 22:50

Könnte jemand anderes da mal was zu sagen, bin mir da etwas unsicher.

netbus 20.11.2004 23:03

Wenn sonst alles geht, ist es ja eigentlich Wurscht, denk ich mir mal so.
Vielleicht erstellt Windows die Datei neu.
Ich weiß es nicht, hab so was ja noch nie gehabt.
Aber bis jetzt läuft alles wie es laufen soll und Meldung kam auch nich mehr.
:party:
:teufel1: :snyper:

Cidre 20.11.2004 23:19

@ Lidius

Siehe http://www.f-secure.de/v-desk/qhost.shtml

Lidius 20.11.2004 23:25

Dem link zufolge kannst du die Hosts.0 also löschen (Danke Cidre)


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131