Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.11.2004, 14:24   #1
enca
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



hab bei mir mit dem bitdefender onlinescan einen ungebetenen gast gefunden den ich nicht loswerde. hab dann verschiedene tools ausprobiert und auf einmal immer mehr gefunden. leider bekomme ich das gesindel nicht los, vielleicht kann mir hier ja jemand helfen.

hier mal die logs:

eScan:

Fri Nov 26 19:22:24 2004 => File C:\WINDOWS\default.css infected by "TrojanClicker.Win32.Qhost.a" Virus. Action Taken: No Action Taken.

Fri Nov 26 19:30:11 2004 => File C:\DOKUME~1\encalion\LOKALE~1\Temp\isearch.exe infected by "TrojanSpy.Win32.Briss.l" Virus. Action Taken: No Action Taken.

Fri Nov 26 19:34:38 2004 => File C:\DOKUME~1\encalion\LOKALE~1\TEMPOR~1\Content.IE5\0HEVS123\CANU0RRT.htm infected by "TrojanDownoader.JS.FlingStone" Virus. Action Taken: No Action Taken.

Fri Nov 26 21:01:54 2004 => File C:\DOKUME~1\encalion\LOKALE~1\TEMPOR~1\Content.IE5\FDNN2G1C\prompt[1].php infected by "TrojanDropper.JS.Gen" Virus. Action Taken: No Action Taken.

Fri Nov 26 21:24:33 2004 => File C:\DOKUME~1\encalion\LOKALE~1\TEMPOR~1\Content.IE5\K7TJIURD\bridge-c18[1].cab infected by "TrojanDownloader.Win32.Briss.a" Virus. Action Taken: No Action Taken.

Fri Nov 26 23:11:20 2004 => File C:\Dokumente und Einstellungen\encalion\Lokale Einstellungen\Temp\isearch.exe infected by "TrojanSpy.Win32.Briss.l" Virus. Action Taken: No Action Taken.

Fri Nov 26 23:15:46 2004 => File C:\Dokumente und Einstellungen\encalion\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HEVS123\CANU0RRT.htm infected by "TrojanDownoader.JS.FlingStone" Virus. Action Taken: No Action Taken.

Sat Nov 27 00:40:48 2004 => File C:\Dokumente und Einstellungen\encalion\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FDNN2G1C\prompt[1].php infected by "TrojanDropper.JS.Gen" Virus. Action Taken: No Action Taken.

Sat Nov 27 01:02:30 2004 => File C:\Dokumente und Einstellungen\encalion\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K7TJIURD\bridge-c18[1].cab infected by "TrojanDownloader.Win32.Briss.a" Virus. Action Taken: No Action Taken.

Sat Nov 27 03:12:40 2004 => File C:\WINDOWS\default.css infected by "TrojanClicker.Win32.Qhost.a" Virus. Action Taken: No Action Taken.


Logfile of HijackThis v1.98.2
Scan saved at 10:38:55, on 27.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\SCANJET\PrecisionScanLT\hppwrsav.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\mIRC\mirc.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\DOKUME~1\encalion\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\encalion\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\System32\notepad.exe
C:\MyDownloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scherbenwelten.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsmart.tv/search
F1 - win.ini: run=msinfo.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [C:\WINDOWS\System32\iozahiq.dll] C:\WINDOWS\System32\iozahiq.dll /c del ÉÂ >nul
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .bmp: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {788A7678-38D7-4EEC-9D20-67A86D21A7FD} (Webupdate Control) - http://www.htttp.biz/de/webupdate.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O19 - User stylesheet: (file missing)


bitte bitte helft mir *heul zeter*
und bitte für doofe erklären ;-)

Alt 27.11.2004, 14:30   #2
cacatoa
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



Hi, enca,
erst mal clearprog 1.4.0 final runterladen, auf "alles löschen" clicken, dann beenden, dann sind alle temp und temp.internet files leer, und damit alles weg, was der eScan gefunden hat.
Dann kommt Dein Logfile dran, bitte laß mir dafür ein paar Minuten Zeit.
cacatoa
__________________

__________________

Alt 27.11.2004, 14:38   #3
cacatoa
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



Das hier im abgesicherten Modus fixen:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsmart.tv/search

Folgende bei Jotti online scannen:

C:\SCANJET\PrecisionScanLT\hppwrsav.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PS W.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePs w.EXE
C:\WINDOWS\System32\iozahiq.dll /c del ÉÂ >nul

Kennst du das:
O16 - DPF: {788A7678-38D7-4EEC-9D20-67A86D21A7FD} (Webupdate Control) - http://www.htttp.biz/de/webupdate.cab
wenn nicht, dann fixen.

Dies auch, wenn der IE ungewohnt langsam ist:
O19 - User stylesheet: (file missing)


Dein System ist nicht upgedated, so fängt man sich gerne was ein....
cacatoa
__________________
__________________

Alt 27.11.2004, 15:29   #4
enca
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



danke für die schnelle hilfe!

allerdings hab ich jetzt schon die ersten probleme (wie gesagt, brauch ne erklärung für idioten *gg*)

also zunächst einmal hängt sich clearprog immer auf :-(

und dann hab ich mich gefragt was mit "im abgesicherten modus fixen" bedeutet? heisst es pc neustarten und da dann in den abgesicherten modus gehen?

und zu guter letzt: wo oder wie kann ich das system updaten?

Alt 27.11.2004, 15:32   #5
Haui45
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



Zitat:
also zunächst einmal hängt sich clearprog immer auf :-(

und dann hab ich mich gefragt was mit "im abgesicherten modus fixen" bedeutet? heisst es pc neustarten und da dann in den abgesicherten modus gehen?

und zu guter letzt: wo oder wie kann ich das system updaten?
Heute 14:38
lass clearprog etwas Zeit....
in den abgesicherten Modus gehen, HjT laufen lassen, Häkchen setzen und auf "fix checked" klicken.
www.windowsupdate.com


Alt 27.11.2004, 15:40   #6
cacatoa
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



@ enca:
Was ist mit dem Ergebnis von Jotti?
__________________
--> Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a

Alt 27.11.2004, 16:23   #7
enca
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



bei erstem kam kein virus, alles ok.

bei den anderen drei kam folgendes:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Alt 27.11.2004, 16:25   #8
cacatoa
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



Ich denke mal, Zone alarm verhindert den upload.
Du kannst nur für diesen einen Upload, um die Datei an Jotti zu senden, mal die Firewall deaktivieren. Wenn es dann immer noch nicht geht, dann haben wir ein Problemchen...
__________________
Der Mensch sollte eine Hundeseele haben

Alt 27.11.2004, 16:30   #9
enca
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



hatte ich bereits probiert... in dem fall haben wir ein problem

Alt 27.11.2004, 16:39   #10
cacatoa
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



Mach bitte im abgesicherten Modus einen eScan (mwav.exe runterladen) beachte die Anleitung genau und teile mit, was er gefunden (und vernichtet) hat.
__________________
Der Mensch sollte eine Hundeseele haben

Alt 27.11.2004, 17:22   #11
enca
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



ok, die meisten sachen hab ich nu hinbekommen...
bei MWAV meckert er das es schon älter als 30 tage wäre...

Alt 27.11.2004, 17:23   #12
cacatoa
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



das macht gar nichts, einfach updaten und laufen lassen.
__________________
Der Mensch sollte eine Hundeseele haben

Alt 27.11.2004, 17:37   #13
enca
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



wieder eine blöde frage *g*:

wie update ich das? bekomme es ums verrecken nicht zum laufen..

Alt 27.11.2004, 17:44   #14
Haui45
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



Doppelklick auf C:\bases\kavupd.exe

Alt 27.11.2004, 17:45   #15
cacatoa
 
Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - Standard

Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a



Hallo, enca,
in meinem Post von vorhin steht: Die Anleitung beachten.
Dort steht es ganz genau drin. Ordner "bases" erstellen etc... Schau noch mal nach
__________________
Der Mensch sollte eine Hundeseele haben

Antwort

Themen zu Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a
adobe, auf einmal, bho, content.ie5, defender, drivers, dsl, einstellungen, escan, excel, explorer, file, file missing, google, hijack, hijackthis, home, icq, infected, internet, internet explorer, logfile, microsoft, programme, software, system, temp, windows, windows xp



Ähnliche Themen: Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a


  1. TR/Qhost.HV
    Plagegeister aller Art und deren Bekämpfung - 24.01.2011 (1)
  2. tr qhost.aa
    Log-Analyse und Auswertung - 26.01.2009 (1)
  3. TR/Qhost.kzn
    Log-Analyse und Auswertung - 19.01.2009 (6)
  4. TR/Qhost.kzn
    Log-Analyse und Auswertung - 19.01.2009 (0)
  5. flingstone.com etc. unlöschbar?
    Plagegeister aller Art und deren Bekämpfung - 29.04.2006 (4)
  6. PSW.Briss.C Trojaner
    Log-Analyse und Auswertung - 19.04.2005 (7)
  7. Flingstone?!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2004 (9)
  8. TR/Spy.Briss.G
    Plagegeister aller Art und deren Bekämpfung - 13.11.2004 (34)
  9. qhost apd
    Plagegeister aller Art und deren Bekämpfung - 29.10.2004 (4)
  10. trojan.pws.briss.A
    Plagegeister aller Art und deren Bekämpfung - 07.09.2004 (1)
  11. Tr/Spy.Briss.G
    Alles rund um Windows - 30.08.2004 (1)
  12. Hilfe bei TR/Spy.Briss.G
    Plagegeister aller Art und deren Bekämpfung - 30.08.2004 (3)
  13. TR/Spy.Briss.G
    Log-Analyse und Auswertung - 04.08.2004 (3)
  14. trojanspy.win32.briss.f
    Plagegeister aller Art und deren Bekämpfung - 13.04.2004 (5)
  15. !dringend! TR/Briss.Spy.2 im archiv gefunden!
    Plagegeister aller Art und deren Bekämpfung - 28.03.2004 (3)
  16. TR/Briss.spy.2 nach Ncase ???
    Plagegeister aller Art und deren Bekämpfung - 11.03.2004 (2)
  17. TR/Qhost.A.2
    Plagegeister aller Art und deren Bekämpfung - 30.10.2003 (1)

Zum Thema Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a - hab bei mir mit dem bitdefender onlinescan einen ungebetenen gast gefunden den ich nicht loswerde. hab dann verschiedene tools ausprobiert und auf einmal immer mehr gefunden. leider bekomme ich das - Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a...
Archiv
Du betrachtest: Qhost.a/Briss.l/JS.FlingStone/JS.Gen/Briss.a auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.