Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: WIN32: Qqpass - DY [Trj]

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 26.10.2006, 17:12   #1
denkmaldruebernach
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



Hallo Leute,
bin neu hier, aber würde eure Hilfe zu wissen schätzen.

Habe einen Trojaner, siehe Topic!

Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:02:47, on 26.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Bin\INSTAN~1.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Kopierer\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Tools\totalcmd\TOTALCMD.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Kerstin\LOKALE~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.2:80
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Schreiben\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~3\IEBUTT~2.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [InstantAccess] c:\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] c:\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] c:\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PDK] C:\Programme\PDK\Kalender.exe /Autostart
O4 - HKCU\..\Run: [AnyDVD] C:\Kopierer\SlySoft\AnyDVD\AnyDVD.exe
O4 - Startup: FriFax32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Schreiben\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!fon.lnk = C:\Programme\FRITZ!\FriFon32.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\SCHREI~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA254ACE-C8C5-457A-AB09-8BA6DD260023}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

Alt 26.10.2006, 17:17   #2
Yopie
Moderator, a.D.
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



[gebetsmühle]Welches Programm meldet den Trojaner? Wo wurde der Trojaner gefunden?[/gebetsmühle]


Gruß
Yopie
__________________


Alt 26.10.2006, 17:21   #3
denkmaldruebernach
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



Zitat:
Zitat von Yopie
[gebetsmühle]Welches Programm meldet den Trojaner? Wo wurde der Trojaner gefunden?[/gebetsmühle]


Gruß
Yopie
Avast meldet den trojaner unzwar im Verzeichnis "C:\windows\system32\notepad.exe"
__________________

Alt 26.10.2006, 17:34   #4
irrlicht
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



Gebetsmühle weiterdreh...
Was sagt Google dazu ?
vielleicht das ? http://www.google.de/search?hl=de&q=...le-Suche&meta=
Dem Pfad nachgehen und bei www.virustotal die Datei prüfen lassen.Vorher die Einstellung zum "Alle Dateien anzeigen lassen" überprüfen.
"Panda Online Scanner" verwenden und Ergebniss posten.
Die so " eingefassten Worte können als Suchbegriff in Google verwendet werden...
Irrlicht

Alt 26.10.2006, 20:27   #5
Novastream
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



Ich habe den auch drauf.



Ich habe keine ahnung wie der sich installiert. Ich benutze den Editor eigendlich ziemlich oft. Die letzten Tage hatte ich ihn nicht benutzt da ich mein System vor 3 tagen frisch installiert habe. Ein Kumpel rief mich an und sagte mir das er den trj hat und dann ging ich halt auch in den ordner und bekam dann auch die warnung.
Ich kann den Editor auch nicht mehr benutzen, sprich auch keine logfile von HijackThis erstellen.
Ich habe versucht die notepad via windows-cd wieder herzustellen aber das hat irgendwie nicht hingehauen. Ich hab mir auch schon die von einem Kumpel schicken lassen dessen vollkommen okay ist solange ich sie nicht auspacke, weil dann springt Avast wieder an (Mein Kumpel hat auch avast und da springt nix an)

Hab den Panda-Online-Scan gemacht und der findet den nicht.
Unter Google ist die suche aussichtslos. Hab nur 3 englische seiten gefunden die was zu dem trj haben, aber das ist nicht wirklich hilfreich. Der rest ist entweder auf chinesisch oder irgend ner anderen sprache die ich nicht lesen kann.
Ich bin mit meiner weisheit am ende. Bin am überlegen ob ich mein PC wieder neu mache, weil ich hatte den vorher ja auch nicht.


Alt 26.10.2006, 20:59   #6
Yopie
Moderator, a.D.
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



Ich habe meine Original-Notepad.exe mit dem Avast-Onlinescanner gescannt:

Zitat:
notepad.exe
infected - Win32:Qqpass-DY [Trj]
Also: Fehlalarm von Avast!

Siehe auch http://forum.avast.com/index.php?topic=24494.0

Lehre für euch: Traut keinem AV-Scanner!

Gruß
Yopie

Alt 26.10.2006, 21:07   #7
Novastream
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



hm
und wiseo schlägt er dann nicht bei meinen kumpels aus? hab noch 5 andere mit dem gleichen prog und bei denen passiert nix (ja sie haben das neuste update drauf)


€dit: War echt ne fehlermeldung. kurios sowas. vps war noch nicht das aktuellste drauf bei mir. Jetzt ist wieder alles tutti. Keine Warnung mehr. Einfach nur nen update allgemein gemacht und dann wars wieder okay.

Geändert von Novastream (26.10.2006 um 21:13 Uhr)

Alt 26.10.2006, 21:28   #8
Sawa
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



natoll, ich depp hab in voller panik (eben weil ich gelesen habe, dass der virus die originale notepad.exe datei nur unbenennt) den vermeindlichen trojaner gelöscht und nun kein notepad mehr -.-
wie kann ich die wiederherstellen?

Alt 26.10.2006, 21:33   #9
Yopie
Moderator, a.D.
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



Die Datei soll Gerüchten zufolge auf der Windows-CD zu finden sein. Einfach kopieren!

Gruß
Yopie

Alt 26.10.2006, 21:39   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



Ich kann Dir notepad.exe per Mail schicken. Ist zwar die von Windows 2000, sollte aber auch unter XP gehen.
Poste Deine Mail-Adresse oder schick mir die über PN, wenn Du die nicht veröffentlichen willst.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 26.10.2006, 21:43   #11
Sawa
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



ok danke, wäre nett
ich veröffentliche sie mal, ist eigentlich eh kein staatsgeheimnis

Alt 26.10.2006, 21:44   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



Zitat:
Zitat von Yopie
Die Datei soll Gerüchten zufolge auf der Windows-CD zu finden sein. Einfach kopieren!

Gruß
Yopie
Ähm, die ist m.W. ziemlich versteckt und komprmitiert abgelegt im Format notepad.ex_ => muss mit dem Befehl expand entpackt werden. Aber anscheinend kann man die auch mit WinRAR öffnen und extrahieren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 26.10.2006, 21:46   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



Zitat:
Zitat von Sawa
ok danke, wäre nett
ich veröffentliche sie mal, ist eigentlich eh kein staatsgeheimnis
Naja, es geht auch um Spamschutz. Manche Spambots durchsuchen systematisch das Internet nach E-Mail-Adressen, um diese mit Werbemüll zu bombardieren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 26.10.2006, 21:49   #14
Sawa
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



achso, ich dachte die email wäre so im profil abgebildet, aber ich habs jetzt dank deiner anleitung doch noch auf der cd gefunden, danke nochmal

Alt 26.10.2006, 21:51   #15
Yopie
Moderator, a.D.
 
WIN32: Qqpass - DY [Trj] - Standard

WIN32: Qqpass - DY [Trj]



Es kann auch nicht schaden, mal unter "WINDOWS/ServicePackFiles/i386" auf der Platte nachzuschauen, falls das Verzeichnis existiert.

Zitat:
Start->Ausführen: expand X:\I386\notepad.ex_ C:\notepad.exe
X: = CD-ROM-Laufwerk mit eingelegter Windows XP-CD (XP2!)
Die aktuelle Version hat die Nummer 5.1.2600.2180(xpsp_sp2_rtm.040803-2158),
wenn das Servicepack 2 installiert ist. In diesem Fall lässt sich
die Datei Notepad.exe aus dem Verzeichnis C:\WINDOWS\ServicePackFiles\i386
in der richtigen Version wiederherstellen, indem Du sie in das Verzeichnis
C:\Windows\system32 kopierst.
Quelle: http://groups.google.de/group/micros...e=source&hl=de

Gruß
Yopie

Antwort

Themen zu WIN32: Qqpass - DY [Trj]
adobe, antivirus, avast, avast!, bho, computer, downloader, excel, explorer, firewall, hijack, hijackthis, internet, internet explorer, kopierer, logfile, pdf, photoshop, pop-up-blocker, programme, software, system, temp, trojaner, windows, windows xp, yahoo



Ähnliche Themen: WIN32: Qqpass - DY [Trj]


  1. Win32:Malware-gen, Win32:Adware-gen, Win32:rookit-gen können nicht gelöscht werden
    Log-Analyse und Auswertung - 17.11.2015 (16)
  2. PC langsam, hängt sich beim Surfen auf, Bluescreen, Advanced System Protector, Win32:Dropper-gen, Win32:Malware-gen, Win32:Rootkit-gen u.a.
    Log-Analyse und Auswertung - 07.02.2015 (12)
  3. Win32:Malware-gen und Trojan.Win32.WinloadSDA.dewcdw und PUA.Win32.Packer.Upx-28 - falsch positive Meldungen?
    Plagegeister aller Art und deren Bekämpfung - 20.09.2014 (1)
  4. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  5. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  6. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  7. ESETLog:Win32/OpenCandy Anwendung; Win32/Toolbar.Zugo Anwendung; Var. von: Win32/Bundled.Toolbar.Ask Anwendung; Win32/Injector.AIBG Trojaner
    Log-Analyse und Auswertung - 17.06.2013 (7)
  8. Trojan:Win32/Alureon.FL | PWS:Win32/Fareit.A | Trojan:Win32/Sirefef.P....Auch MBR infiziert?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (7)
  9. Trojan:Win32/Fakesysdef, Win32/FakeRean und TrojanDownloader:Win32/Karagany.G
    Log-Analyse und Auswertung - 05.01.2012 (2)
  10. Win32/Provis!rts, Win32/Ragterneb.A, Win32/Meredrop, Win32/VB.RC, TrojanDropper:Win32/Bamital.C
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (7)
  11. nach spybot durchlauf... Win32.Agent.ieu, Win32.FraudLoad, Win32.PornPopup
    Log-Analyse und Auswertung - 08.08.2010 (3)
  12. Worm:Win32/Conficker.B Virus:Win32/Sality.AM PWS:Win32/Verweli.A
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (1)
  13. Trojan-Spy.Win32.Pophot.gzv / Trojan.Win32.Buzus.alwl / Virus.Win32.Virut.ce
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (1)
  14. Trojaner: Win32.KeyLogger, Win32.GreenScreen,Win32.Agent, Win32Tiny, HTML.Bankfraud
    Log-Analyse und Auswertung - 29.09.2008 (1)
  15. Win32:Trojan-gen, Win32:Rootkit-gen, Win32:Adware-gen gefunden!
    Log-Analyse und Auswertung - 14.07.2008 (1)
  16. Win32:Warezov-CIU-DWI [Wrm] & Win32:KillAV-CP [Trj] & Win32:Sality-AM
    Plagegeister aller Art und deren Bekämpfung - 15.08.2007 (5)
  17. HackTool.Win32.Hidd.c / TrojanSpy.Win32.Agent.w / Trojan-Downloader.Win32.Agent.fy
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (3)

Zum Thema WIN32: Qqpass - DY [Trj] - Hallo Leute, bin neu hier, aber würde eure Hilfe zu wissen schätzen. Habe einen Trojaner, siehe Topic! Hier das Logfile: Logfile of HijackThis v1.99.1 Scan saved at 18:02:47, on 26.10.2006 - WIN32: Qqpass - DY [Trj]...
Archiv
Du betrachtest: WIN32: Qqpass - DY [Trj] auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.