Sicker Geschrieben 14. Februar 2005 Geschrieben 14. Februar 2005 hallo, ich habe seit einiger zeit ein kleines problem: ich habe Antivir am laufen und antivir-guard aktiviert, entweder wenn ich den rechner starte ODER wenn ich versuche mich per dfü ins internet einzuwählen, erscheint eine meldung, dass die datei C:\WINNT\system32\drivers\etc\host das trojanische pferd TR/QHosts.Script sei . da die datei nicht repariert werden konnte, habe ich sie löschen lassen. was die host-datei bewirkt weiß ich nicht, lediglich dass sie irgendwas mit internet zu tun haben soll , deshalb war ich auch unsicher, aber ich habe sie einfach mal gelöscht. internet funktioniert weiterhin einwandfrei. doch wenn ich den rechner erneut hochfahre, erscheint wieder die selbe meldung mit dem TR/QHosts.Script (entweder beim systemstart oder beim verbinden ins internet), also wird die datei neu erstellt. ist es normal, dass windows diese datei immer neu erstellt, oder habe ich irgendwo ein kleines script im hintergrund, welches die datei immer neu erstellt ? also "falscher alarm" mit nervigem nebeneffekt oder habe ich mir definitiv was eingefangen ? arbeiten/internet/musik/... wird also nicht gestört, lediglich eine nervige meldung mit der irreparablen datei im drivers/etc-verzeichnis erscheint einmal. wenn ich den rechner mit antivir scanne, wird nix außer diese datei gefunden, ad-aware und spybot brachten keine (für das problem relevanten) ergebnisse. per msinfo32-befehl habe ich nach unbekannten autostart-programmen geschaut, aber nichts unübliches gefunden. ich benutze windows 2000 mit sp4. ich würde mich über antworten freuen, gruß, Sicker Zitieren
Thanks-and-Goodbye Geschrieben 14. Februar 2005 Geschrieben 14. Februar 2005 Poste mal bitte das Log von Hijackthis. http://www.hijackthis.de/ Zitieren
Sicker Geschrieben 14. Februar 2005 Autor Geschrieben 14. Februar 2005 bevor ich die datei gelöscht habe: Logfile of HijackThis v1.99.0 Scan saved at 00:18:19, on 15.02.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Network ICE\BlackICE\blackd.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINNT\System32\vmnat.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe C:\Programme\Winamp\Winampa.exe C:\Programme\FreeMeX\FREEMEX.EXE C:\WINNT\system32\win32upd.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Dokumente und Einstellungen\meinname\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [CHZ FreeMeX] C:\Programme\FreeMeX\FREEMEX.EXE O4 - HKLM\..\Run: [WSAConfiguration] win32upd.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [WSAConfiguration] win32upd.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BlackICE - Network ICE Corporation - C:\Programme\Network ICE\BlackICE\blackd.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe O23 - Service: VMware Authorization Service - Unknown - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service - VMware, Inc. - C:\WINNT\System32\vmnetdhcp.exe O23 - Service: VMware NAT Service - Unknown - C:\WINNT\System32\vmnat.exe nachdem ich die datei gelöscht habe: Logfile of HijackThis v1.99.0 Scan saved at 00:21:04, on 15.02.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Network ICE\BlackICE\blackd.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINNT\System32\vmnat.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe C:\Programme\Winamp\Winampa.exe C:\Programme\FreeMeX\FREEMEX.EXE C:\WINNT\system32\win32upd.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Kerio\Personal Firewall\PERSFW.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\meinname\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [CHZ FreeMeX] C:\Programme\FreeMeX\FREEMEX.EXE O4 - HKLM\..\Run: [WSAConfiguration] win32upd.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [WSAConfiguration] win32upd.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{9E101D8E-FC1B-47F4-997F-0381E00CB7D1}: NameServer = 194.97.173.124 194.97.173.125 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BlackICE - Network ICE Corporation - C:\Programme\Network ICE\BlackICE\blackd.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe O23 - Service: VMware Authorization Service - Unknown - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service - VMware, Inc. - C:\WINNT\System32\vmnetdhcp.exe O23 - Service: VMware NAT Service - Unknown - C:\WINNT\System32\vmnat.exe bei der auswertung der 2. logdatei meldet die online-auswertung meiner meinung nach nix schlimmes, bis auf diesen "eventuell böse"-eintrag: O17 - HKLM\System\CCS\Services\Tcpip\..\{9E101D8E-FC1B-47F4-997F-0381E00CB7D1}: NameServer = 194.97.173.124 194.97.173.125 Eventuell Böse Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). Kennen Sie die IP oder die Domäne '194.97.173.124 194.97.173.125' nicht, fixen. Zitieren
hades Geschrieben 15. Februar 2005 Geschrieben 15. Februar 2005 Dein IE ist nicht aktuell. Das muesste Dir auch hijackthis.de anzeigen. Gehe auf http://windowsupdate.microsoft.com und installiere Dir die wichtigen Patches und ServicePacks. Nutze wenn moeglich auch Alternativbrowser wie Firefox und Opera. Scanne Dein System auch mal mit einem Online-Virenscanner. (Links siehe Linkliste Securityforum) Zitieren
Sicker Geschrieben 15. Februar 2005 Autor Geschrieben 15. Februar 2005 hi, ja genau, dass der IE nicht aktuell ist, wurde mir auch angezeigt. dies ist mir eigentlich aber auch egal, da ich den IE zwar als standard-browser eingestellt habe, ich aber trotzdem nur mit firefox surfe. der IE wird eigentlich nur gestartet, wenn ich offline eine html-datei öffne. das mit dem online-scannen werde ich dann mal versuchen, danke Zitieren
Sicker Geschrieben 15. Februar 2005 Autor Geschrieben 15. Februar 2005 hallo nochmal, ich habe soeben mal die datei nicht gelöscht und mit RAV und ikarus online scannen lassen, beidesmal wird gesagt, dass die datei ok sei. ich habe sie mal mit einem editor geöffnet, dies ist der inhalt: 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com Zitieren
Thanks-and-Goodbye Geschrieben 15. Februar 2005 Geschrieben 15. Februar 2005 Tja, das mit den Umleitungen auf Localhost ist eine Unsitte vieler Trojaner, Hijacker oder ähnlichem Ungeziefer. Was mir eben aufgefallen ist, du hast einmal die Keerio Firewall laufen und die Black Ice Firewall zusätzlich. Solltest dich für eine entscheiden. Das vertrackte ist: ich finde in den Logs nichts, wo die Änderungen der hosts herkommt. Die hosts an sich ist keine gefährliche Datei, nur werden dadurch alle Anfragen zu Antiviren-Updateserver auf localhost umgelenkt. Zitieren
Sicker Geschrieben 15. Februar 2005 Autor Geschrieben 15. Februar 2005 ja, aktiviert habe ich jedoch nur die kerio firewall...ich habe damals einfach die black ice installiert gelassen, weil ich zuerst von kerio nich sonderlich angetan war. mittlerweile benutze ich nur noch kerio, jaja, ich sollte mal die altlasten entsorgen Zitieren
hades Geschrieben 15. Februar 2005 Geschrieben 15. Februar 2005 Dieser Trojaner wird ueber IE-Sicherheitsluecken eingeschleust. Der IE ist tief im System verankert und sollte auch bei Nichtbenutzen mit Patches versorgt werden. Betroffen ist u.a. auch Outlook, was den IE zur Ansicht von Emails nutzt. Fehlende Sicherheitspatches kannst Du mit dem MBSA aufspueren (Link siehe Linkliste Securityforum) oder direkt per Windowsupdate. Zur Entfernung des Trojaners koennte diese Beschreibung helfen. http://vil.nai.com/vil/content/v_100719.htm Zitieren
Sicker Geschrieben 17. Februar 2005 Autor Geschrieben 17. Februar 2005 hallo nochmal, puh, ich glaube, dass ich das problem soweit behoben habe...es hat sich rausgestellt, dass ich noch einen wurm namens Worm/Gaobot.122368.3 hatte. dieser hat sich als win32upd.exe in das system32-verzeichnis kopiert. daraufhin habe ich einige removal-tools laufen lassen und dann noch manuell die win32upd.exe gelöscht...bis jetzt läuft zumindest alles hervorragend, beim booten oder verbinden mit dem internet kam keine meldung mehr, dass die hosts-datei infiziert sei und der gaobot hat bisher auch noch nix gemeldet. falls sich rausstellt, dass doch nich alles so läuft wie gewünscht melde ich mich nochmal. bis hierhin vielen dank an euch ! Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.