Hallo!

Danke für die späte Antwort!


Antvir hat folgendes ausgespuckt:

In der Datei 'C:\WINDOWS\system32\drivers\etc\hosts'
wurde ein Virus oder unerwünschtes Programm 'TR/Qhosts.A' [TR/Qhosts.A] gefunden.

Kann damit wer was anfangen?

Vielen Dank & Gruß


PS: Was bedeutet RBOT bzw SBOT? Stecke ich in ernsthaften Schwierigkeiten, oder eher harmlos?

Zitat:

Zitat von Chefvon30leuten

Schwierigkeiten, oder eher harmlos?

Mach erstmal so ein lustiges HJT-Log. Dann sehen wir schon mal die großen Baustellen und wissen mehr. Qhosts ist nicht unbedingt ein Killer, aber wir wissen ja noch nicht wie es sonst so um Deine Flora und Fauna bestellt ist.

Vielen Dank das du dir die Mühe machst mir zu helfen, das gilt auch für alle anderen die mir helfen möchten.



Logfile of HijackThis v1.99.1
Scan saved at 17:36:36, on 08.01.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Power Translator 10\LogoMedia TranslateDotNet Server.exe
C:\WINDOWS\System32\oodag.exe
C:\PROGRA~1\AGNITU~1.7\outpost.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Babylon 5 Pro\Babylon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Treiber\MX 510\MouseWare\system\em_exec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp 5.03\winamp.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488
F2 - REG:system.ini: Shell=Explorer.exe msiexec update.exe
F3 - REG:win.ini: run=C:\WINDOWS\System32\msiexec update.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: LEC - {4A241D35-F7EB-401b-8C5B-A904A50F280E} - C:\Programme\Power Translator 10\Applications\LEC IE Translation Extension.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator 10\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum Outpost Firewall 2.7\outpost.exe /waitservice
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon 5 Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum Outpost Firewall 2.7\Plugins\BrowserBar\ie_bar.dll
O20 - AppInit_DLLs: C:\PROGRA~1\AGNITU~1.7\wl_hook.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator 10\LogoMedia TranslateDotNet Server.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\AGNITU~1.7\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



Und, System kurz vor der nuklearen Detonation?


Vielen Dank!

Mfg

Zitat:

Und, System kurz vor der nuklearen Detonation?

Allerdings! Das hier

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

ist grob fahrlässig um es mal ganz vorsichtig auszudrücken. Sollte nach Abschluss der Analyse feststehen, dass Dein System noch in Ordung ist, solltest Du hast-Du-nicht-gesehen das Service Pack 2 für Windows XP inklusive aller nachfolgenden, sicherheitsrelevanten Updates einspielen.
Das Service Pack 2 kannst Du hier herunterladen (am besten auf CD sichern):
Downloaddetails: Windows XP Service Pack 2 für IT-Spezialisten und Entwickler

Die nachfolgenden Patches bekommst Du per Windows-Update.

Zitat:

F2 - REG:system.ini: Shell=Explorer.exe msiexec update.exe
F3 - REG:win.ini: run=C:\WINDOWS\System32\msiexec update.exe

Diese Einträge sind ungewöhnlich, müssen aber nicht zwingend Böses bedeuten.

1. Suche bitte nach Dateien namesn "update.exe" und lasse jeden Fund mit exakt diesem Namen bei VIRUSTOTAL - Free Online Virus and Malware Scan und/oder Online Malware scan scannen. Die vollständigen! Reporte bitte hier posten.

2. Führe bitte einen Scan mit Rootkitrevealer durch und poste das Log hier (während des Scans - Dauer etwa 5 Minuten - nichts! am Computer machen).

3. Führe einen Scan mit Online Viren-Scanner durch.

Hallo

Update Exe war die Datei die mit dem Trojaner infiziert war, ich habe sie mittlerweile gelöscht. Allerdings bekomme ich nach jedem booten noch Fehlermeldungen die besagen "Update.Exe wurde nicht gefunden" etc., kann ich diese beiden Einträge einfach löschen?

Die anderen Sachen werde ich jetzt mal durcharbeiten, danke schonmal.

Zitat:

Zitat von Chefvon30leuten

Allerdings bekomme ich nach jedem booten noch Fehlermeldungen die besagen "Update.Exe wurde nicht gefunden" etc., kann ich diese beiden Einträge einfach löschen?

Ja, fixe sie mit HJT und dieses Problem sollte gelöst sein.

Punkt 1 kann ich leider nicht durchführen da beide Seiten gerade überlastet sind.

Punkt 2.)

HKLM\SECURITY\Policy\Secrets\SAC* 04.09.2001 05:35 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 04.09.2001 05:35 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 04.09.2005 16:16 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\Installer\Products\B3D5AC652003B7E409EF70D1F8FD8341\ProductName 04.09.2005 16:17 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 09.09.2005 22:03 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}\DisplayName 04.09.2005 16:17 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 02.12.2006 13:18 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40 04.01.2007 02:45 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d346prt\Cfg\0Jf40 03.01.2007 17:00 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d346prt\Cfg\0Jf41 21.09.2006 15:28 0 bytes Hidden from Windows API.
D:\System Volume Information\_restore{D6349A8C-7673-46CF-A730-1D524958367D}\RP58\A0073725.exe 11.07.2005 05:03 390.50 KB Visible in Windows API, but not in MFT or directory index.

Punkt 3.) Weder bei Opera noch bei Firefox passiert etwas wenn ich in dem neuen Fenster auf "Akzeptieren" drücke.

Zitat:

Zitat von Chefvon30leuten

Punkt 3.) Weder bei Opera noch bei Firefox passiert etwas wenn ich in dem neuen Fenster auf "Akzeptieren" drücke.

In diesem Fall ist leider der Internet Explorer Dein Freund. Ansonsten schaut es bisher ganz ok aus (nicht perfekt, aber ok). Falls der Scan mit Kaspersky partout nicht funktionieren will, findest Du in unserer FAQ-Sektion eine Anleitung für eScan
http://www.trojaner-board.de/24192-e...en-ab-7-x.html