Trojaner-Board - Hijack Log >>> weyer.exe und dqddss.exe <<< darum gehts

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hijack Log >>> weyer.exe und dqddss.exe <<< darum gehts (https://www.trojaner-board.de/10151-hijack-log-weyer-exe-dqddss-exe-gehts.html)

Hijack Log >>> weyer.exe und dqddss.exe <<< darum gehts

Logfile of HijackThis v1.98.2
Scan saved at 03:33:50, on 28.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\system32\kxmixer.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\mIRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ewido\security suite\securitysuite.exe
D:\temp\Rar$EX01.406\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = DarkLord
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PRONoMgrWired] c:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [kX Mixer] C:\WINNT\system32\kxmixer.exe --startup
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSDNMess] C:\winnt\system32\cvssdp.exe
O4 - HKLM\..\Run: [Pausedell] weyer.exe
O4 - HKLM\..\Run: [ddqdsxnfqs] dqddss.exe
O4 - HKLM\..\RunServices: [ddqdsxnfqs] dqddss.exe
O4 - HKLM\..\RunServices: [Pausedell] weyer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [Pausedell] weyer.exe
O4 - HKCU\..\Run: [ddqdsxnfqs] dqddss.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

Wie gesagt, meiner Meinung nach gehts um die weyer.exe und dqddss.exe! Die Anwendungen hab ich komischerweise relativ gut gelöscht bekommen ... zumindest denke ich das. Aber irren ist menschlich ... möchte aber noch die einträge los werden.

Weiß da jemand rat?

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.trojaner-board.de/63335-w...s-starten.html und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

O4 - HKLM\..\Run: [Pausedell] weyer.exe
O4 - HKLM\..\Run: [ddqdsxnfqs] dqddss.exe
O4 - HKLM\..\RunServices: [ddqdsxnfqs] dqddss.exe
O4 - HKLM\..\RunServices: [Pausedell] weyer.exe
O4 - HKCU\..\Run: [Pausedell] weyer.exe
O4 - HKCU\..\Run: [ddqdsxnfqs] dqddss.exe

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

Danke Cidre dass du dich meiner annimmst!

Habe alles so durchgeführt wie du es beschreiben hast, leider ohne Erfolg ... die Einträge sind nach jedem Neustart wieder da! hier die neuen logs ...

Logfile of HijackThis v1.98.2
Scan saved at 21:35:05, on 28.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\system32\kxmixer.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\mIRC\mirc.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
D:\temp\Rar$EX00.313\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = DarkLord
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PRONoMgrWired] c:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [kX Mixer] C:\WINNT\system32\kxmixer.exe --startup
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [MSDNMess] C:\winnt\system32\cvssdp.exe
O4 - HKLM\..\Run: [Pausedell] weyer.exe
O4 - HKLM\..\Run: [ddqdsxnfqs] dqddss.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [Pausedell] weyer.exe
O4 - HKLM\..\RunServices: [ddqdsxnfqs] dqddss.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [Pausedell] weyer.exe
O4 - HKCU\..\Run: [ddqdsxnfqs] dqddss.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

File C:\WINNT\system32\amqnf.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.
File C:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File D:\after format\defcon\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.14. No Action Taken.
File D:\Backup\defcon\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.14. No Action Taken.
File D:\Backup\mIRC.v6.14.Incl.Keymaker-ACME.zip tagged as not-a-virus:RiskWare.mIRC.6.14. No Action Taken.
File D:\CS\Benaliasesger5.5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\Emulation\GBA\gameboy\GBA-Setup_v3.1.0.1.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\RECYCLER\S-1-5-21-606747145-115176313-682003330-500\De15\movie jack 2.06 in deutsch und in andere sprachen\DivXPro502GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File G:\Half-Life\cstrike\ben\setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File G:\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

Hoffe, dass es noch nen paar andere Möglichkeiten gibt!

Gruß

Zitat:

File C:\WINNT\system32\amqnf.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.

Mit so einem Backdoortrojaner ist nicht zu spaßen
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Verwendet seine eigene E-Mail-Engine
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
Bitte überprüfe weyer.exe online bei http://virusscan.jotti.org/de
dabei dürfte es sich auch um einen Vertreter der SDbot Familie handeln
=>http://www.trojaner-board.de/showpos...28&postcount=2

@Haui45
die dateien habe ich schon gelöscht ... zumindest finde ich sie über die suchen-funkltion nicht mehr ... daher kann ich sie bei http://virusscan.jotti.org/de nicht mehr scannen lassen.

Die Datei hat aber schon jmd. vor dir bei jotti überprüft (-> http://www.google.de/search?q=cache:...eyer.exe&hl=de)
es ist natürlich nicht gesagt, dass es sich um die gleiche Datei handelt, aber imo sehr wahrscheinlich. Meiner Meinung nach solltest du dein System neu aufsetzen (Anleitung siehe oben)

werd ich auf jeden fall tun in meinem urlaub ... wo ich grad leute vom fach da hab.

benutze den firefox browser zum surfen
dann die programme ad-aware, antivir und ewido zum scannen
außerdem ist die firewall auf meinem router aktiv (smc)

meine frage: macht es sinn noch weitere tools zum erkennen von trojanern bzw viren zu installieren, denn viele köche verderben ja den brei wenn doch wäre ich euch sehr dankbar, wenn ihr mir welche nennen könntet

gruß

Ich meine das so, dass du deinen PC vom Netz nehmen und nicht noch weiter damit "herumsurfen" sollst! Dein PC stellt eine Gefahr für dich und für andere Internetnutzer da.
Weiterführende Links:
http://www.mathematik.uni-marburg.de...ompromise.html
http://www.mathematik.uni-marburg.de...c-removal.html
http://www.trojaner-board.de/showthread.php?t=10162

Zitat:

meine frage: macht es sinn noch weitere tools zum erkennen von trojanern bzw viren zu installieren, denn viele köche verderben ja den brei wenn doch wäre ich euch sehr dankbar, wenn ihr mir welche nennen könntet

Am besten nur einen Virenscanner installieren (einige empfehlenswerte sind im letzten von mir geposteten Link zu finden). Dazu ist es noch möglich AdAware und Spybot Search&Destroy zu installieren. Auch Spywareblaster kann nicht schaden. Evtl. noch Trojancheck (ist kein "Trojanerscanner" im herkömmlichen Sinne)
btw. kein Programm kann Sicherheit garantieren! Sicherheit kann man nicht kaufen/installieren.