hallo,

ich habe seit einiger zeit ein kleines problem: ich habe Antivir am laufen und antivir-guard aktiviert, entweder wenn ich den rechner starte ODER wenn ich versuche mich per dfü ins internet einzuwählen, erscheint eine meldung, dass die datei C:\WINNT\system32\drivers\etc\host das trojanische pferd TR/QHosts.Script sei . da die datei nicht repariert werden konnte, habe ich sie löschen lassen. was die host-datei bewirkt weiß ich nicht, lediglich dass sie irgendwas mit internet zu tun haben soll , deshalb war ich auch unsicher, aber ich habe sie einfach mal gelöscht. internet funktioniert weiterhin einwandfrei. doch wenn ich den rechner erneut hochfahre, erscheint wieder die selbe meldung mit dem TR/QHosts.Script (entweder beim systemstart oder beim verbinden ins internet), also wird die datei neu erstellt.

ist es normal, dass windows diese datei immer neu erstellt, oder habe ich irgendwo ein kleines script im hintergrund, welches die datei immer neu erstellt ? also "falscher alarm" mit nervigem nebeneffekt oder habe ich mir definitiv was eingefangen ?

arbeiten/internet/musik/... wird also nicht gestört, lediglich eine nervige meldung mit der irreparablen datei im drivers/etc-verzeichnis erscheint einmal.

wenn ich den rechner mit antivir scanne, wird nix außer diese datei gefunden, ad-aware und spybot brachten keine (für das problem relevanten) ergebnisse. per msinfo32-befehl habe ich nach unbekannten autostart-programmen geschaut, aber nichts unübliches gefunden. ich benutze windows 2000 mit sp4.

ich würde mich über antworten freuen, gruß, Sicker

Poste mal bitte das Log von Hijackthis.

http://www.hijackthis.de/

bevor ich die datei gelöscht habe:

Logfile of HijackThis v1.99.0

Scan saved at 00:18:19, on 15.02.2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\Programme\Network ICE\BlackICE\blackd.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Programme\VMware\VMware Workstation\vmware-authd.exe

C:\WINNT\System32\vmnat.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe

C:\Programme\Winamp\Winampa.exe

C:\Programme\FreeMeX\FREEMEX.EXE

C:\WINNT\system32\win32upd.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\WINNT\system32\internat.exe

C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Dokumente und Einstellungen\meinname\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot

O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [CHZ FreeMeX] C:\Programme\FreeMeX\FREEMEX.EXE

O4 - HKLM\..\Run: [WSAConfiguration] win32upd.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunServices: [WSAConfiguration] win32upd.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm

O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: BlackICE - Network ICE Corporation - C:\Programme\Network ICE\BlackICE\blackd.exe

O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe

O23 - Service: VMware Authorization Service - Unknown - C:\Programme\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service - VMware, Inc. - C:\WINNT\System32\vmnetdhcp.exe

O23 - Service: VMware NAT Service - Unknown - C:\WINNT\System32\vmnat.exe

nachdem ich die datei gelöscht habe:

Logfile of HijackThis v1.99.0

Scan saved at 00:21:04, on 15.02.2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\Programme\Network ICE\BlackICE\blackd.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Programme\VMware\VMware Workstation\vmware-authd.exe

C:\WINNT\System32\vmnat.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe

C:\Programme\Winamp\Winampa.exe

C:\Programme\FreeMeX\FREEMEX.EXE

C:\WINNT\system32\win32upd.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\WINNT\system32\internat.exe

C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Programme\Kerio\Personal Firewall\PERSFW.EXE

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\meinname\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot

O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [CHZ FreeMeX] C:\Programme\FreeMeX\FREEMEX.EXE

O4 - HKLM\..\Run: [WSAConfiguration] win32upd.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunServices: [WSAConfiguration] win32upd.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm

O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O17 - HKLM\System\CCS\Services\Tcpip\..\{9E101D8E-FC1B-47F4-997F-0381E00CB7D1}: NameServer = 194.97.173.124 194.97.173.125

O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: BlackICE - Network ICE Corporation - C:\Programme\Network ICE\BlackICE\blackd.exe

O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe

O23 - Service: VMware Authorization Service - Unknown - C:\Programme\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service - VMware, Inc. - C:\WINNT\System32\vmnetdhcp.exe

O23 - Service: VMware NAT Service - Unknown - C:\WINNT\System32\vmnat.exe

bei der auswertung der 2. logdatei meldet die online-auswertung meiner meinung nach nix schlimmes, bis auf diesen "eventuell böse"-eintrag:

O17 - HKLM\System\CCS\Services\Tcpip\..\{9E101D8E-FC1B-47F4-997F-0381E00CB7D1}: NameServer = 194.97.173.124 194.97.173.125

Eventuell Böse Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). Kennen Sie die IP oder die Domäne '194.97.173.124 194.97.173.125' nicht, fixen.

Dein IE ist nicht aktuell. Das muesste Dir auch hijackthis.de anzeigen.

Gehe auf http://windowsupdate.microsoft.com und installiere Dir die wichtigen Patches und ServicePacks.

Nutze wenn moeglich auch Alternativbrowser wie Firefox und Opera.

Scanne Dein System auch mal mit einem Online-Virenscanner. (Links siehe Linkliste Securityforum)

hi,

ja genau, dass der IE nicht aktuell ist, wurde mir auch angezeigt. dies ist mir eigentlich aber auch egal, da ich den IE zwar als standard-browser eingestellt habe, ich aber trotzdem nur mit firefox surfe. der IE wird eigentlich nur gestartet, wenn ich offline eine html-datei öffne. das mit dem online-scannen werde ich dann mal versuchen, danke

hallo nochmal,

ich habe soeben mal die datei nicht gelöscht und mit RAV und ikarus online scannen lassen, beidesmal wird gesagt, dass die datei ok sei. ich habe sie mal mit einem editor geöffnet, dies ist der inhalt:

127.0.0.1 www.symantec.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 symantec.com

127.0.0.1 www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 www.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 www.viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 f-secure.com

127.0.0.1 www.f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 www.avp.com

127.0.0.1 www.kaspersky.com

127.0.0.1 avp.com

127.0.0.1 www.networkassociates.com

127.0.0.1 networkassociates.com

127.0.0.1 www.ca.com

127.0.0.1 ca.com

127.0.0.1 mast.mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 www.my-etrust.com

127.0.0.1 download.mcafee.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 nai.com

127.0.0.1 www.nai.com

127.0.0.1 update.symantec.com

127.0.0.1 updates.symantec.com

127.0.0.1 us.mcafee.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 customer.symantec.com

127.0.0.1 rads.mcafee.com

127.0.0.1 trendmicro.com

127.0.0.1 www.trendmicro.com

Tja, das mit den Umleitungen auf Localhost ist eine Unsitte vieler Trojaner, Hijacker oder ähnlichem Ungeziefer.

Was mir eben aufgefallen ist, du hast einmal die Keerio Firewall laufen und die Black Ice Firewall zusätzlich. Solltest dich für eine entscheiden.

Das vertrackte ist: ich finde in den Logs nichts, wo die Änderungen der hosts herkommt.

Die hosts an sich ist keine gefährliche Datei, nur werden dadurch alle Anfragen zu Antiviren-Updateserver auf localhost umgelenkt.

ja, aktiviert habe ich jedoch nur die kerio firewall...ich habe damals einfach die black ice installiert gelassen, weil ich zuerst von kerio nich sonderlich angetan war. mittlerweile benutze ich nur noch kerio, jaja, ich sollte mal die altlasten entsorgen

Dieser Trojaner wird ueber IE-Sicherheitsluecken eingeschleust.

Der IE ist tief im System verankert und sollte auch bei Nichtbenutzen mit Patches versorgt werden.

Betroffen ist u.a. auch Outlook, was den IE zur Ansicht von Emails nutzt.

Fehlende Sicherheitspatches kannst Du mit dem MBSA aufspueren (Link siehe Linkliste Securityforum) oder direkt per Windowsupdate.

Zur Entfernung des Trojaners koennte diese Beschreibung helfen.

http://vil.nai.com/vil/content/v_100719.htm

hallo nochmal,

puh, ich glaube, dass ich das problem soweit behoben habe...es hat sich rausgestellt, dass ich noch einen wurm namens Worm/Gaobot.122368.3 hatte. dieser hat sich als win32upd.exe in das system32-verzeichnis kopiert. daraufhin habe ich einige removal-tools laufen lassen und dann noch manuell die win32upd.exe gelöscht...bis jetzt läuft zumindest alles hervorragend, beim booten oder verbinden mit dem internet kam keine meldung mehr, dass die hosts-datei infiziert sei und der gaobot hat bisher auch noch nix gemeldet.

falls sich rausstellt, dass doch nich alles so läuft wie gewünscht melde ich mich nochmal. bis hierhin vielen dank an euch !