Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo,

AntiVir hat den Trojaner TR/QHosts.script gefunden, da ich kaum informationen über den Trojaner im Internet finden konnte :( , hoffe ich dass mir hier jemand sagen kann,

- was für Funktionen der TR/QHosts.script ausführt

(Effekt aufs online banking? Zahlungen?)

-wie ich ihn wieder loswerde. Ich hab ihn löschen lassen von Antivir, is der Trojaner jetzt wirklich weg?

Hier die logfile von Hijackthis. Kann jemand damit etwas anfangen?

Logfile of HijackThis v1.99.1

Scan saved at 18:11:03, on 28.02.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\carpserv.exe

C:\Programme\Apoint2K\Apoint.exe

C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE

C:\WINDOWS\system32\drrss.exe

C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe

C:\Programme\ICQLite\ICQLite.exe

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe

C:\Programme\Apoint2K\Apntex.exe

C:\Programme\The Bat!\thebat.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\AVPersonal\AVWIN.EXE

C:\Programme\WinRAR\WinRAR.exe

C:\DOKUME~1\Maike\LOKALE~1\Temp\Rar$EX44.165\HijackThis.exe

C:\Dokumente und Einstellungen\Maike\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE

O4 - HKLM\..\Run: [drrss] drrss.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [iCQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\RunServices: [drrss] drrss.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Image Transfer.lnk = ?

O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/

O17 - HKLM\System\CCS\Services\Tcpip\..\{81AD170A-F5BE-47B9-B1DA-2A72A0F270BD}: NameServer = 192.168.10.1

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

die Auswertung dieser Daten auf Hijackthis.de gab keinen negativen Befund, nur einige unbekannte Objekte in der Liste. Ist der Trojaner jetzt weg?

Ich starte mein Laptop jetzt nochmal neu und schau ob Antivir den Trojaner nochmal findet.

Maike

P.S: Vor zwei Wochen hatte ich noch eine Firwall. Laut hijack this, hab ich aber keine?

Geschrieben

Kauf dir mal ne Anti-Trojaner Software.;)

Auch wenn AntiViren-Programme Trojaner finden....

Gute Software:

TrojanHunter

a2personal - noch nicht ganz ausgereift aber dennoch gut.

etc.

Die killen dir auch sicher den Trojaner.;)

Geschrieben

Also, mein Trojaner ist aktiv wie eh und je. :rolleyes: Die Trojaner Software, hat ihn nicht mal erkannt und Norten ist wohl darüber gestoßen, hat ihn aber nicht als Trojaner erkannt.

Ich teste gerade die folgende Software (die Sicker, der den Trojaner auch hatte (in Verbindung mit einem Gabot Wurm)geholfen hat) :

( http://www.avast.com/eng/down_cleaner.html ), McAffee Stinger ( http://vil.nai.com/vil/stinger/ )

und Symantec W32.Gaobot FixTool ( http://securityresponse.symantec.co...er/FxGaobot.exe

auch bin ich gerade auf die folgende Seite gestoßen (scheinbar die erste, die den Virus kennt) und seh jetzt mal, ob ich ihn mit Hilfe von ihr auch entfernt bekomme:

http://www.sophos.de/virusinfo/analyses/trojqhosts1.html

drückt mir die Daumen.

Geschrieben

Troj/Qhosts-1 ist ein Trojaner, der die Einstellungen des Windows Primary DNS Servers so ändert, dass alle infizierten Rechner denselben Host für DNS-Anfragen verwenden. Wenn die Anzahl der infizierten Computer hoch ist, kann er effektiv eine Denial-of-Service-Attacke auf dem DNS-Server starten.

Troj/Qhosts-1 klinkt sich außerdem in die Anwendung des Internet Explorer Browsers ein, so dass Internetanfragen an den Server weitergeleitet werden, den der Trojanerautor ausgewählt hat. Der Trojaner wird installiert und gestartet, wenn ein Anwender eine Website besucht, die eine Schwachstelle im Internet Explorer ausnutzt. Ein in der Webseite eingebettetes VB-Skript wird automatisch gestartet, sobald die Webseite mit dem Internet Explorer angesehen wird.

Microsoft hat ein Patch für die Schwachstelle zur Verfügung gestellt, die dieser Trojaner ausnutzt. Das Patch steht zur Verfügung unter:

href="http://www.microsoft.com/technet/security/bulletin/MS03-040.asp">http://www.microsoft.com/technet/security/bulletin/MS03-040.asp

Das VB-Skript legt die Datei aolfix.exe im temporären Ordner des Benutzers ab und startet sie. Aolfix.exe ist eine Windows-Batchdatei, die mit Hilfe einer Demo-Version des Programms Batch File Compiler V5.1 in das Windows Binärprogramm konvertiert wird. Aolfix.exe erstellt den versteckten Ordner bdtmp\tmp, extrahiert eine Batchdatei mit einem zufälligen Namen und startet die Batchdatei.

Die Batchdatei erstellt mehrere Dateien im Windows-Ordner. Die Datei Hosts ist für das Einklinken in den Internet Explorer verantwortlich. Troj/Qhosts-1 kopiert die Datei HOSTS in den Ordner <Windows>\Help und fügt die originale HOST-Datei an sie an.

Der Trojaner ändert die Registrierungswerte

HKLM\System\ControlSet001\Services\Tcpip\ Parameters\DataBasePath and

HKLM\System\ControlSet002\Services\Tcpip\ Parameters\DataBasePath

Dadurch verwendet das System die Trojanerkopien der HOSTS-Dateien. Es gibt wenig bekannte Varianten des Trojaners. Je nach der Variante, kann der Trojaner auch andere Registrierungswerte setzen, z. B.

HKLM\System\CurrentControlSet\Services\VxD\MSTCP

EnableDNS = 1

NameServer = 216.127.92.38 or 69.57.146.14, 69.57.147.175

Hostname = "host"

Domain= "mydomain.com"

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings

ProxyEnable= 00000000

MigrateProxy=00000000

HKCU\Software\Microsoft\Internet Explorer\Main

Use Search Asst=no

Search Page= http://www.google.com

Search Bar=http://www.google.com/ie

HKCU\Software\Microsoft\Internet Explorer\SearchURL

""="http://www.google.com/keyword/

provider=gogl

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search

SearchAssistant=http://www.google.com/ie

HKLM\SYSTEM\ControlSet001\Services \Tcpip\Parameters\interfaces\windows

r0x=your s0x

HKLM\SYSTEM\ControlSet002\Services \Tcpip\Parameters\interfaces\windows

r0x=your s0x

Einige Varianten legen das VB-Skript o.vbs im Windows-Ordner ab und starten es. Das Skript versucht, mit Hilfe von Windows Management Instrumentation die Einstellungen des Primary DNS Servers für die Netzwerkschnittstelle zu ändern

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...