live-ur-dreams

Troj/Qhosts-1 ist ein Trojaner, der die Einstellungen des Windows Primary DNS Servers so ändert, dass alle infizierten Rechner denselben Host für DNS-Anfragen verwenden. Wenn die Anzahl der infizierten Computer hoch ist, kann er effektiv eine Denial-of-Service-Attacke auf dem DNS-Server starten. Troj/Qhosts-1 klinkt sich außerdem in die Anwendung des Internet Explorer Browsers ein, so dass Internetanfragen an den Server weitergeleitet werden, den der Trojanerautor ausgewählt hat. Der Trojaner wird installiert und gestartet, wenn ein Anwender eine Website besucht, die eine Schwachstelle im Internet Explorer ausnutzt. Ein in der Webseite eingebettetes VB-Skript wird automatisch gestartet, sobald die Webseite mit dem Internet Explorer angesehen wird. Microsoft hat ein Patch für die Schwachstelle zur Verfügung gestellt, die dieser Trojaner ausnutzt. Das Patch steht zur Verfügung unter: href="http://www.microsoft.com/technet/security/bulletin/MS03-040.asp">http://www.microsoft.com/technet/security/bulletin/MS03-040.asp Das VB-Skript legt die Datei aolfix.exe im temporären Ordner des Benutzers ab und startet sie. Aolfix.exe ist eine Windows-Batchdatei, die mit Hilfe einer Demo-Version des Programms Batch File Compiler V5.1 in das Windows Binärprogramm konvertiert wird. Aolfix.exe erstellt den versteckten Ordner bdtmp\tmp, extrahiert eine Batchdatei mit einem zufälligen Namen und startet die Batchdatei. Die Batchdatei erstellt mehrere Dateien im Windows-Ordner. Die Datei Hosts ist für das Einklinken in den Internet Explorer verantwortlich. Troj/Qhosts-1 kopiert die Datei HOSTS in den Ordner <Windows>\Help und fügt die originale HOST-Datei an sie an. Der Trojaner ändert die Registrierungswerte HKLM\System\ControlSet001\Services\Tcpip\ Parameters\DataBasePath and HKLM\System\ControlSet002\Services\Tcpip\ Parameters\DataBasePath Dadurch verwendet das System die Trojanerkopien der HOSTS-Dateien. Es gibt wenig bekannte Varianten des Trojaners. Je nach der Variante, kann der Trojaner auch andere Registrierungswerte setzen, z. B. HKLM\System\CurrentControlSet\Services\VxD\MSTCP EnableDNS = 1 NameServer = 216.127.92.38 or 69.57.146.14, 69.57.147.175 Hostname = "host" Domain= "mydomain.com" HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyEnable= 00000000 MigrateProxy=00000000 HKCU\Software\Microsoft\Internet Explorer\Main Use Search Asst=no Search Page= http://www.google.com Search Bar=http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\SearchURL ""="http://www.google.com/keyword/ provider=gogl HKLM\SOFTWARE\Microsoft\Internet Explorer\Search SearchAssistant=http://www.google.com/ie HKLM\SYSTEM\ControlSet001\Services \Tcpip\Parameters\interfaces\windows r0x=your s0x HKLM\SYSTEM\ControlSet002\Services \Tcpip\Parameters\interfaces\windows r0x=your s0x Einige Varianten legen das VB-Skript o.vbs im Windows-Ordner ab und starten es. Das Skript versucht, mit Hilfe von Windows Management Instrumentation die Einstellungen des Primary DNS Servers für die Netzwerkschnittstelle zu ändern

Also, mein Trojaner ist aktiv wie eh und je. Die Trojaner Software, hat ihn nicht mal erkannt und Norten ist wohl darüber gestoßen, hat ihn aber nicht als Trojaner erkannt. Ich teste gerade die folgende Software (die Sicker, der den Trojaner auch hatte (in Verbindung mit einem Gabot Wurm)geholfen hat) : ( http://www.avast.com/eng/down_cleaner.html ), McAffee Stinger ( http://vil.nai.com/vil/stinger/ ) und Symantec W32.Gaobot FixTool ( http://securityresponse.symantec.co...er/FxGaobot.exe auch bin ich gerade auf die folgende Seite gestoßen (scheinbar die erste, die den Virus kennt) und seh jetzt mal, ob ich ihn mit Hilfe von ihr auch entfernt bekomme: http://www.sophos.de/virusinfo/analyses/trojqhosts1.html drückt mir die Daumen.

oder auch nicht. Der Trojaner ist doch noch da. AntiVir war wohl noch nicht ganz fertig, als ich die letzte Message gepostet hab.

ok, nochmal gestartet und trojaner wurde nicht nochmal gefunden. Jetzt stellt sich mir nur noch die Frage, was der Trojaner bewirkt hat/sollte?

Hallo, AntiVir hat den Trojaner TR/QHosts.script gefunden, da ich kaum informationen über den Trojaner im Internet finden konnte , hoffe ich dass mir hier jemand sagen kann, - was für Funktionen der TR/QHosts.script ausführt (Effekt aufs online banking? Zahlungen?) -wie ich ihn wieder loswerde. Ich hab ihn löschen lassen von Antivir, is der Trojaner jetzt wirklich weg? Hier die logfile von Hijackthis. Kann jemand damit etwas anfangen? Logfile of HijackThis v1.99.1 Scan saved at 18:11:03, on 28.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\carpserv.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE C:\WINDOWS\system32\drrss.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\The Bat!\thebat.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVPersonal\AVWIN.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Maike\LOKALE~1\Temp\Rar$EX44.165\HijackThis.exe C:\Dokumente und Einstellungen\Maike\Desktop\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE O4 - HKLM\..\Run: [drrss] drrss.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [iCQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [drrss] drrss.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Image Transfer.lnk = ? O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O17 - HKLM\System\CCS\Services\Tcpip\..\{81AD170A-F5BE-47B9-B1DA-2A72A0F270BD}: NameServer = 192.168.10.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE die Auswertung dieser Daten auf Hijackthis.de gab keinen negativen Befund, nur einige unbekannte Objekte in der Liste. Ist der Trojaner jetzt weg? Ich starte mein Laptop jetzt nochmal neu und schau ob Antivir den Trojaner nochmal findet. Maike P.S: Vor zwei Wochen hatte ich noch eine Firwall. Laut hijack this, hab ich aber keine?