Trojaner Qhost ?!

Dieses Thema im Forum "Sicherheit" wurde erstellt von Mikus_H, 16. November 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Mikus_H

    Mikus_H ROM

    Registriert seit:
    16. November 2003
    Beiträge:
    7
    Hallo ,

    habe seit zwei Tagen das Problem das ich Google nicht mehr über die Adresse www.google.de erreichen kann und auf eine andere Seite umgeleitet werde die mit , meiner Meinung nach , eher dubiosen Mitteln dem User zur Lösung des Problems helfen will.
    In einem Artikel habe ich dann von dem Trojaner Qhost gelesen der das oben stehende Problem auslöst und mir bei Symantec das passende removal Tool heruntergeladen , welches dann diesen Trojaner allerdings nicht aufspüren konnte.
    Auch Norton AV kann nichts auffälliges finden und eigentlich wägte ich mich bisher dank des umfangreichenSicherheitspaketes von Norton immer in Sicherheit ! ;-)
    Kennt vieleicht jemand dieses Problem und die dazugehörige Lösung des selbigen ?
    MFG
    Mikus H.
     
  2. Gast

    Gast Guest

    Endgültig wohl kaum, solange du weiter den IE benutzt.
     
  3. Mikus_H

    Mikus_H ROM

    Registriert seit:
    16. November 2003
    Beiträge:
    7
    So habe die Zeilen heraus geschmissen und gehe jetzt einfach mal davon aus das mein Problem damit endgültig gelöst ist !
    Das umlenken auf diese vermeindliche Hilfeseite lies sich ja bereits durch das verändern der Hosts Dateien beheben und der Störenfried hat sich bisher nicht mehr bemerkbar gemacht.

    Jedenfalls möchte ich mich bei allen für die schnelle und kompetente Hilfe bedanken.

    Mfg

    Mikus H.
     
  4. ManniBear

    ManniBear Megabyte

    Registriert seit:
    23. Februar 2002
    Beiträge:
    1.970
    Merkwürdig.

    Na dann eben manuell. Die folgenden Punkte solltest du von HijackThis korrigieren lassen:

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.find-itnow.com/panel_search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.find-itnow.com/panel_search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.find-itnow.com/panel_search.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.find-itnow.com/panel_search.html

    Dann evtl. neu booten und schauen ob jetzt alles in Ordnung ist.

    Mfg Manni
     
  5. Mikus_H

    Mikus_H ROM

    Registriert seit:
    16. November 2003
    Beiträge:
    7
    Hi , habe dein Tool probiert , das kann aber auch nichts entdecken ?! Daher sieht der HiJack Report noch immer so aus wie der erste.
    Wie kann ich denn da jetzt auf Nummer sicher gehen daß ich das Vieh los bin und nicht meine Platte formatieren muß ?

    Mfg

    Mikus H.
     
  6. ManniBear

    ManniBear Megabyte

    Registriert seit:
    23. Februar 2002
    Beiträge:
    1.970
    Du scheinst mit einer Variante von CoolWebSearch infiziert zu sein. Lad dir das darauf spezialisierte Programm CWShredder hier runter:

    http://www.spywareinfo.com/~merijn/files/cwshredder.zip

    Lass das Programm laufen und mach anschließend einen neuen Report von HijackThis.

    Mfg Manni
     
  7. Mikus_H

    Mikus_H ROM

    Registriert seit:
    16. November 2003
    Beiträge:
    7
    So hier isser , der Report von HijackThis :

    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\Programme\Norton Internet Security Professional\NISUM.EXE
    C:\Programme\Logitech\MouseWare\system\em_exec.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Norton Internet Security Professional\ccPxySvc.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\PROGRA~1\T-DSLS~1\tsmsvc.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
    C:\Programme\Outlook Express\msimn.exe


    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.find-itnow.com/panel_search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.find-itnow.com/panel_search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.find-itnow.com/panel_search.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.find-itnow.com/panel_search.html
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [*******ElbyCDFL] "C:\Programme\Elaborate Bytes\*******\ElbyCheck.exe" /L ElbyCDFL
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37939.3844675926
    O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EF5D4C85-6F73-4E67-804A-7542395B39A3}: NameServer = 217.5.115.205 194.25.2.129
     
  8. Gast

    Gast Guest

    Dass Symantec/Norton-Dingens das durchlässt, ist nicht weiter verwunderlich. Schließlich ist das Einfallstor der Unsicherheitsbrowser IE, der ja bei den meisten Usern standardmäßig fast alles darf (und kann), eben auch Dinge, die man gar nicht will. Naja...es gibt ja andere Browser.

    Ich würde mich nie und nimmer auf das (negative) Suchergebnis eines Symantec-Tools verlassen und eher davon ausgehen, dass der Schädling noch da ist.
    Ein Report von HijackThis wäre hilfreich...
     
  9. Mikus_H

    Mikus_H ROM

    Registriert seit:
    16. November 2003
    Beiträge:
    7
    Tja so ist auch mein Stand der Dinge !
    Was mich allerdings wundert ist das die Symantec Internet Security sowas durchschlüpfen läßt !
    Naja Shit happens , gelle ?!

    MFG
    Mikus H.
     
  10. Oh ja, habe ich überlesen...


    Ich hatte diesen Trojaner auch, habe die hosts-Datei geleert und habe durch das Symantec Tool auch nichts gefunden.

    Bis jetzt keine weiteren Probleme.
     
  11. Mikus_H

    Mikus_H ROM

    Registriert seit:
    16. November 2003
    Beiträge:
    7
    Hi ,

    habe ich oben geschrieben das ich damit schon durch bin und der nix findet !
    MFG
    Mikus H.
     
  12. Mikus_H

    Mikus_H ROM

    Registriert seit:
    16. November 2003
    Beiträge:
    7
    Hmmm ... Trust No One ?!

    Welche Art der Absicherung würdest Du empfehlen ?
    Habe die Hosts Dateien der einfachheit her mal gekillt und siehe da Google funzt wieder !
    Allerdings kommt mir das zu einfach vor , befindet sich der übeltäter noch bei mir ?
    Ehrlich gesagt finde ich bei dem HiJack Prog nichts wirklich auffälliges dazwischen ( habe allerdings auch nicht sooo die Ahnung von der Materie !). Habe mich mit Spybot an die Front begeben !
    Ach und wie mache ich einen Portscan ?
    Aber schon mal vielen Dank für die prompte Antwort !
    MFG
    Mikus H.
     
  13. Gast

    Gast Guest

    Lösung: Nimm Abstand von deinem bisherigen Paket. Es hat mit Sicherheit nichts zu tun.
    Öffne deine Datei HOSTS (ohne Endung) mit einem Texteditor und lösche alle Einträge, die sich offensichtlich mit Suchmaschinen befassen. Eigentlich braucht da erstmal nichts anderes drinzustehen als
    127.0.0.1 localhost

    Den Verursacher der Manipulation der HOSTS-Datei findest du am ehesten mit HijackThis .
    Kannst hier ja mal einen Scanreport posten, wenn du damit nicht klarkommst.
    In ZUkunft solltest du auf den IE als Browser verzichten, den dessen Sicherheitslücken verdankst du diesen Ärger.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen