Problem Trojaner TR/QHosts.script

[live-ur-dreams]

Hallo,

AntiVir hat den Trojaner TR/QHosts.script gefunden, da ich kaum informationen über den Trojaner im Internet finden konnte , hoffe ich dass mir hier jemand sagen kann,

- was für Funktionen der TR/QHosts.script ausführt

(Effekt aufs online banking? Zahlungen?)

-wie ich ihn wieder loswerde. Ich hab ihn löschen lassen von Antivir, is der Trojaner jetzt wirklich weg?

Hier die logfile von Hijackthis. Kann jemand damit etwas anfangen?

Logfile of HijackThis v1.99.1

Scan saved at 18:11:03, on 28.02.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\carpserv.exe

C:\Programme\Apoint2K\Apoint.exe

C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE

C:\WINDOWS\system32\drrss.exe

C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe

C:\Programme\ICQLite\ICQLite.exe

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe

C:\Programme\Apoint2K\Apntex.exe

C:\Programme\The Bat!\thebat.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\AVPersonal\AVWIN.EXE

C:\Programme\WinRAR\WinRAR.exe

C:\DOKUME~1\Maike\LOKALE~1\Temp\Rar$EX44.165\HijackThis.exe

C:\Dokumente und Einstellungen\Maike\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE

O4 - HKLM\..\Run: [drrss] drrss.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [iCQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\RunServices: [drrss] drrss.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Image Transfer.lnk = ?

O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/

O17 - HKLM\System\CCS\Services\Tcpip\..\{81AD170A-F5BE-47B9-B1DA-2A72A0F270BD}: NameServer = 192.168.10.1

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

die Auswertung dieser Daten auf Hijackthis.de gab keinen negativen Befund, nur einige unbekannte Objekte in der Liste. Ist der Trojaner jetzt weg?

Ich starte mein Laptop jetzt nochmal neu und schau ob Antivir den Trojaner nochmal findet.

Maike

P.S: Vor zwei Wochen hatte ich noch eine Firwall. Laut hijack this, hab ich aber keine?

[live-ur-dreams]

ok, nochmal gestartet und trojaner wurde nicht nochmal gefunden. Jetzt stellt sich mir nur noch die Frage, was der Trojaner bewirkt hat/sollte?

[live-ur-dreams]

oder auch nicht. Der Trojaner ist doch noch da. AntiVir war wohl noch nicht ganz fertig, als ich die letzte Message gepostet hab.

[Oli-nux]

Kauf dir mal ne Anti-Trojaner Software.

Auch wenn AntiViren-Programme Trojaner finden....

Gute Software:

TrojanHunter

a2personal - noch nicht ganz ausgereift aber dennoch gut.

etc.

Die killen dir auch sicher den Trojaner.

[hades]

Eine automatisierte Auswertung des geposteten Hijackthis-Logfiles gibt es hier:

http://www.hijackthis.de/logfiles/8dd07f9a2a86a9f6f76aecc107abc813.html (Link bis 02.03.05 verfuegbar)

[live-ur-dreams]

Also, mein Trojaner ist aktiv wie eh und je. Die Trojaner Software, hat ihn nicht mal erkannt und Norten ist wohl darüber gestoßen, hat ihn aber nicht als Trojaner erkannt.

Ich teste gerade die folgende Software (die Sicker, der den Trojaner auch hatte (in Verbindung mit einem Gabot Wurm)geholfen hat) :

( http://www.avast.com/eng/down_cleaner.html ), McAffee Stinger ( http://vil.nai.com/vil/stinger/ )

und Symantec W32.Gaobot FixTool ( http://securityresponse.symantec.co...er/FxGaobot.exe

auch bin ich gerade auf die folgende Seite gestoßen (scheinbar die erste, die den Virus kennt) und seh jetzt mal, ob ich ihn mit Hilfe von ihr auch entfernt bekomme:

http://www.sophos.de/virusinfo/analyses/trojqhosts1.html

drückt mir die Daumen.

[live-ur-dreams]

Troj/Qhosts-1 ist ein Trojaner, der die Einstellungen des Windows Primary DNS Servers so ändert, dass alle infizierten Rechner denselben Host für DNS-Anfragen verwenden. Wenn die Anzahl der infizierten Computer hoch ist, kann er effektiv eine Denial-of-Service-Attacke auf dem DNS-Server starten.

Troj/Qhosts-1 klinkt sich außerdem in die Anwendung des Internet Explorer Browsers ein, so dass Internetanfragen an den Server weitergeleitet werden, den der Trojanerautor ausgewählt hat. Der Trojaner wird installiert und gestartet, wenn ein Anwender eine Website besucht, die eine Schwachstelle im Internet Explorer ausnutzt. Ein in der Webseite eingebettetes VB-Skript wird automatisch gestartet, sobald die Webseite mit dem Internet Explorer angesehen wird.

Microsoft hat ein Patch für die Schwachstelle zur Verfügung gestellt, die dieser Trojaner ausnutzt. Das Patch steht zur Verfügung unter:

href="http://www.microsoft.com/technet/security/bulletin/MS03-040.asp">http://www.microsoft.com/technet/security/bulletin/MS03-040.asp

Das VB-Skript legt die Datei aolfix.exe im temporären Ordner des Benutzers ab und startet sie. Aolfix.exe ist eine Windows-Batchdatei, die mit Hilfe einer Demo-Version des Programms Batch File Compiler V5.1 in das Windows Binärprogramm konvertiert wird. Aolfix.exe erstellt den versteckten Ordner bdtmp\tmp, extrahiert eine Batchdatei mit einem zufälligen Namen und startet die Batchdatei.

Die Batchdatei erstellt mehrere Dateien im Windows-Ordner. Die Datei Hosts ist für das Einklinken in den Internet Explorer verantwortlich. Troj/Qhosts-1 kopiert die Datei HOSTS in den Ordner <Windows>\Help und fügt die originale HOST-Datei an sie an.

Der Trojaner ändert die Registrierungswerte

HKLM\System\ControlSet001\Services\Tcpip\ Parameters\DataBasePath and

HKLM\System\ControlSet002\Services\Tcpip\ Parameters\DataBasePath

Dadurch verwendet das System die Trojanerkopien der HOSTS-Dateien. Es gibt wenig bekannte Varianten des Trojaners. Je nach der Variante, kann der Trojaner auch andere Registrierungswerte setzen, z. B.

HKLM\System\CurrentControlSet\Services\VxD\MSTCP

EnableDNS = 1

NameServer = 216.127.92.38 or 69.57.146.14, 69.57.147.175

Hostname = "host"

Domain= "mydomain.com"

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings

ProxyEnable= 00000000

MigrateProxy=00000000

HKCU\Software\Microsoft\Internet Explorer\Main

Use Search Asst=no

Search Page= http://www.google.com

Search Bar=http://www.google.com/ie

HKCU\Software\Microsoft\Internet Explorer\SearchURL

""="http://www.google.com/keyword/

provider=gogl

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search

SearchAssistant=http://www.google.com/ie

HKLM\SYSTEM\ControlSet001\Services \Tcpip\Parameters\interfaces\windows

r0x=your s0x

HKLM\SYSTEM\ControlSet002\Services \Tcpip\Parameters\interfaces\windows

r0x=your s0x

Einige Varianten legen das VB-Skript o.vbs im Windows-Ordner ab und starten es. Das Skript versucht, mit Hilfe von Windows Management Instrumentation die Einstellungen des Primary DNS Servers für die Netzwerkschnittstelle zu ändern