Hallo!

Ich habe mir eine .exe Datei aus dem Netz runtergeladen, nachdem ich sie anklickte und nichts passierte wurde ich erstmal skeptisch. Nachdem sich dann meine Outpost und mein Antivir schloss hatte ich dann Gewissheit das es sich um einen Trojaner handeln müsse. Ich habe dann erstmal meinen Netzstecker gezogen und Antivir durchlaufen lassen, das hat dann wohl auch irgendwas gefunden und gelöscht. Da mein Antivir Guard an war ärgert es mich das Antivir nicht angesprungen ist bevor ich diese Datei anklickte.

Das Problem ist jetzt das sich immer noch Reste davon in meinem System befinden, bzw. weiß ich leider nicht ob der Trojaner quasi noch "handlungsfähig" ist oder nicht. unter Runonce in der Registry sind immer noch Einträge von Programmen die ich gar nicht besitze (ICQ, Kaspersky, obwohl ich ja Antivir habe). Außerdem kommen nach jedem booten Fehlermeldungen wie z.b. "Update.exe wurde nicht gefunden". Update.exe war meines Wissens die infizierte, aber bereits gelöschte Datei.

Meine Frage an euch: Wie kann ich diesen Trojaner restlos entfernen? Antivir und Outpost schließen sich mittlerweile nicht mehr automatisch, kann ich davon ausgehen das der Trojaner diese nicht so modifiziert hat das er wenn diese beiden Programme angeschaltet sind trotzdem funktionieren kann.

Habt vielen Dank für eure Hilfe!

Mit freundlichen Grüßen

PS: Leider weiß ich nicht um welchen Trojaner es sich handelt, allerdings kann ich den genauen Downloadlink nennen, vielleicht kann jemand die Datei durchscannen um zu schauen um welchen Trojaner es sich handelt und dann genau beschreiben wie man ihn entfernt? Wäre das möglich?

Zitat:

Zitat von Chefvon30leuten

Leider weiß ich nicht um welchen Trojaner es sich handelt,...

Das Logfile von Antivir sollte Dir darüber Auskunft geben können oder such Dir Sophos support knowledgebase einen aus.

Zitat:

...allerdings kann ich den genauen Downloadlink nennen,...

Lieber nicht.

Zitat:

Trojaner es sich handelt und dann genau beschreiben wie man ihn entfernt? Wäre das möglich?

Erstelle doch erstmal ein HJT-Log (Anleitung dazu in der FAQ-Sektion). Ich würde allerdings um ein Bier im Nachtcafé wetten, dass ein Vertreter der überall sehr geschätzten RBot- oder SDBot-Familie bei Dir zu Besuch ist.

Hallo!

Danke für die späte Antwort!


Antvir hat folgendes ausgespuckt:

In der Datei 'C:\WINDOWS\system32\drivers\etc\hosts'
wurde ein Virus oder unerwünschtes Programm 'TR/Qhosts.A' [TR/Qhosts.A] gefunden.

Kann damit wer was anfangen?

Vielen Dank & Gruß


PS: Was bedeutet RBOT bzw SBOT? Stecke ich in ernsthaften Schwierigkeiten, oder eher harmlos?

Zitat:

Zitat von Chefvon30leuten

Schwierigkeiten, oder eher harmlos?

Mach erstmal so ein lustiges HJT-Log. Dann sehen wir schon mal die großen Baustellen und wissen mehr. Qhosts ist nicht unbedingt ein Killer, aber wir wissen ja noch nicht wie es sonst so um Deine Flora und Fauna bestellt ist.

Vielen Dank das du dir die Mühe machst mir zu helfen, das gilt auch für alle anderen die mir helfen möchten.



Logfile of HijackThis v1.99.1
Scan saved at 17:36:36, on 08.01.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Power Translator 10\LogoMedia TranslateDotNet Server.exe
C:\WINDOWS\System32\oodag.exe
C:\PROGRA~1\AGNITU~1.7\outpost.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Babylon 5 Pro\Babylon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Treiber\MX 510\MouseWare\system\em_exec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp 5.03\winamp.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488
F2 - REG:system.ini: Shell=Explorer.exe msiexec update.exe
F3 - REG:win.ini: run=C:\WINDOWS\System32\msiexec update.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: LEC - {4A241D35-F7EB-401b-8C5B-A904A50F280E} - C:\Programme\Power Translator 10\Applications\LEC IE Translation Extension.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator 10\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum Outpost Firewall 2.7\outpost.exe /waitservice
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon 5 Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum Outpost Firewall 2.7\Plugins\BrowserBar\ie_bar.dll
O20 - AppInit_DLLs: C:\PROGRA~1\AGNITU~1.7\wl_hook.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator 10\LogoMedia TranslateDotNet Server.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\AGNITU~1.7\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



Und, System kurz vor der nuklearen Detonation?


Vielen Dank!

Mfg

Zitat:

Und, System kurz vor der nuklearen Detonation?

Allerdings! Das hier

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

ist grob fahrlässig um es mal ganz vorsichtig auszudrücken. Sollte nach Abschluss der Analyse feststehen, dass Dein System noch in Ordung ist, solltest Du hast-Du-nicht-gesehen das Service Pack 2 für Windows XP inklusive aller nachfolgenden, sicherheitsrelevanten Updates einspielen.
Das Service Pack 2 kannst Du hier herunterladen (am besten auf CD sichern):
Downloaddetails: Windows XP Service Pack 2 für IT-Spezialisten und Entwickler

Die nachfolgenden Patches bekommst Du per Windows-Update.

Zitat:

F2 - REG:system.ini: Shell=Explorer.exe msiexec update.exe
F3 - REG:win.ini: run=C:\WINDOWS\System32\msiexec update.exe

Diese Einträge sind ungewöhnlich, müssen aber nicht zwingend Böses bedeuten.

1. Suche bitte nach Dateien namesn "update.exe" und lasse jeden Fund mit exakt diesem Namen bei VIRUSTOTAL - Free Online Virus and Malware Scan und/oder Online Malware scan scannen. Die vollständigen! Reporte bitte hier posten.

2. Führe bitte einen Scan mit Rootkitrevealer durch und poste das Log hier (während des Scans - Dauer etwa 5 Minuten - nichts! am Computer machen).

3. Führe einen Scan mit Online Viren-Scanner durch.