ishost.exe auf Rechner!!!!

[chrischi3101]

Hallöchen,
Also mein Problem:
Da sind die Prozesse ishost.exe und ismini.exe in meinem Taskmanager und ich habe nix gutes darüber gelsen!

Also meine Fragen:

1. Wie stark ist mein System betroffen?
Dazu Logfile:

Please, Anmelden or Registrieren to view URLs content!

2. Muss es neu aufgesetzt werden?

3. Wenn nicht, was dann?

4. Wenn ja, ist dann folgende Variante möglich?
Die alte Festplatte durch eine neue ersetzen und darauf das System neu installieren.
Die alte dann als Slave anschließen und die benötigten Daten auf die neue kopieren.
Wobei ich auch ganze Programme copieren möchte oder ist das System dann wieder
verseucht?

Schon mal Danke

 

[Harry]

Re: ishost.exe auf Rechner!!!!

Hallo chrischi3101,

herzlich willkommen bei windowspower.de

Nicht gleich mit Kanonen auf Spatzen schießen (Neuaufsetzung)!

1.) Du solltest Dir SP2 aufspielen.

2.) Dein IE ist eine veraltete Version.

Das hier kann gefixt werden:

C:\WINDOWS\System32\ishost.exe Mit einem Antivirenscanner prüfen

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe

O4 - HKLM\..\Run: [qqcw1.exe] C:\WINDOWS\TEMP\qqcw1.exe

O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll (file missing)

Es sind noch ein paar unbekannte Einträge vorhanden, bei denen bin ich mir nicht ganz sicher.
Warte mal die Bewertung der anderen Kollegen noch ab!

L.G.
Harry

 

[McFly]

Re: ishost.exe auf Rechner!!!!

Hi chrischi3101,

C:\Dokumente und Einstellungen\Ich\Startmenü\Programme\Autostart\sbqzs.exe
C:\WINDOWS\TEMP\qqcw1.exe
C:\WINDOWS\System32\xoaa.dll
C:\WINDOWS\System32\ismini.exe

Lasse all diese Files mal bei

Please, Anmelden or Registrieren to view URLs content!

und bei

Please, Anmelden or Registrieren to view URLs content!

scannen.
Die Ergebnisse bitte hier posten.

---------------------

Lade die Programme

Please, Anmelden or Registrieren to view URLs content!

,

Please, Anmelden or Registrieren to view URLs content!

und

Please, Anmelden or Registrieren to view URLs content!

wenn nicht schon vorhanden, installieren und bitte nur updaten lassen und beenden, also NOCH NICHT
Scannen lassen.

Boote in den

Please, Anmelden or Registrieren to view URLs content!

Starte nacheinander Ewido, Spybot und Adaware und lasse den kompletten PC scannen.

Ergebnisse von Ewido und Spybot mit einer neuen Hijackthis.log ebenfalls hier posten. Bei Adaware ist die Log der Auswertung zu groß daher schenken wir uns das.

 

[chrischi3101]

Re: ishost.exe auf Rechner!!!!

Danke, die Ergebnisse kommen bald.
Ich habe noch bei chip.de und trojaner-board.de mein logfile gepostet und die meinen da ich sollte neuaufsetzen und außerdem wurde ich auf msmsgs.exe (W32/Forbot-BD) hingewiesen.
Jetzt bin ich nochmehr beunruhigt, aber hoffe mal hier sind die wirklichen profis^^ und vertraue mal auf euch.

 

[McFly]

Re: ishost.exe auf Rechner!!!!

Die werden davon ausgehen das dein Rechner "kompromitiert" ist, d.h.
ein Fremder hat vollen Zugriff auf deinen Rechner ohne wenn und aber und
er kann damit machen was er will, man hat deine Passwörter ausgespäht, und möglicherweise
deine Privaten Mails / Dokumente etc. . Ausserdem kann er deinen Rechner dazu benutzen
Malware per EMail weiterzusenden um dich ganz schön in Bedrängnis zu bringen.

Natürlich wäre es möglich deinen Rechner davon zu befreien, doch da gibts ein paar Probleme:

1. Findet man alle Schädlinge ?
2. Dauert das eine ganze Weile..

Mit einer Neuinstallation von WindowsXP wäre es wesentlich einfacher und schneller.
Und das du alle verwendeten Passwörter ändern musst ist dir hoffentlich klar.
Nicht nur die, die du im Netz verwendest, sondern auch alle anderen
(EMail + Internetzugang). Das dauert natürlich auch eine ganze Weile.

Information:

Name W32/Forbot-BD
Typ

* Spyware-Wurm

Verbreitungsweise

* Netzwerkfreigaben

Anfällige Betriebssysteme

* Windows

Nebeneffekte

* Ermöglicht Dritten den Zugriff auf den Computer
* Löscht Dateien vom Computer
* Stiehlt Daten
* Reduziert die Systemsicherheit
* Installiert sich in der Registrierung

Alias

* Backdoor.Win32.Wootbot.gen

 

[chrischi3101]

Re: ishost.exe auf Rechner!!!!

So,
nochma Danke für die Infos.
Und nun zu den Protokollen der Scans:

Virustotal:

Please, Anmelden or Registrieren to view URLs content!

Ewido:

Please, Anmelden or Registrieren to view URLs content!

Spybot:

Please, Anmelden or Registrieren to view URLs content!

Hijack:

Please, Anmelden or Registrieren to view URLs content!

Ich hoffe es geht erstmal ohne Ergebnisse von Jotti, weil der Server von denen überlastet war.

Und diese Auto-Popups von Spybot, dass er den Prozess ishost.exe beendet hat geht mir auf die Nerven.

Und vielen dank für die Hilfe.

 

[McFly]

Re: ishost.exe auf Rechner!!!!

Da ist was schief gelaufen:

Ewido: Keine Aktion durchgeführt.
Spybot: nothing done

Die Schädlinge sollten entfernt werden..
Laut der Log wurde nichts gelöscht.

Wenn es nicht funktioniert mit dem Löschen, setz dein Windows neu auf.

 

[chrischi3101]

Re: ishost.exe auf Rechner!!!!

Danke für den Hinweis!
Also läuft grad nochma durch!
Die neuen Ergebnisse kommen dann morgen.

Soll ich den Vierenscanner von G-Data auch mal drüber laufen lassen. (InternetSecurity2007)
Aber das müsste ich auf dem Pc neu Installieren und denn ja noch über Passwörter mir meine aktuelle Virensignatur laden. Da das ganze ja im normalen Betriebsmodus geschehen muss hab ich angst, dass die Passwörter denn ausgespäht werden oder so???

 

[McFly]

Re: ishost.exe auf Rechner!!!!

Brauchst du nicht, jedenfalls solange nicht bis alles gesäubert ist, wenn du den installierst
wird er sofort abgestellt.

Please, Anmelden or Registrieren to view URLs content!

Du könntest 3 Online Scanner scannen lassen, (z.B. Kaspersky,Bitdefender,Trend Micro)

Die sollten normalerweise viel finden.

 

[chrischi3101]

Re: ishost.exe auf Rechner!!!!

Danke
Hier die neuen Logfiles:

Spybot:

Please, Anmelden or Registrieren to view URLs content!

Ewido:

Please, Anmelden or Registrieren to view URLs content!

neues Hijack:

Please, Anmelden or Registrieren to view URLs content!

 

[McFly]

Re: ishost.exe auf Rechner!!!!

C:\WINDOWS\System32\msmsgs.exe

überprüfe die Datei bitte bei

Please, Anmelden or Registrieren to view URLs content!

und bei

Please, Anmelden or Registrieren to view URLs content!

egal wie lange es dauert, und poste das Ergebnis.

benutze den Onlinescanner von Kaspersky

Diese Einträge in Hijackthis fixen:
O2 - BHO: (no name) - {2a6af021-17a2-4014-8624-cf6015f82fad} - C:\WINDOWS\System32\xoaa.dll
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [qqcw1.exe] C:\WINDOWS\TEMP\qqcw1.exe
O4 - Global Startup: NumPlus.lnk = C:\dicad\strauti\numplus.exe
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll (file missing)
O23 - Service: LogHwz - Unknown owner - \\?\C:\Programme\Gemeinsame Dateien\System\com4.exe (file missing)
O23 - Service: LogRws - Unknown owner - \\?\C:\Programme\Gemeinsame Dateien\Microsoft Shared\prn.exe (file missing)

Danach nachschauen ob diese Dateien vorhanden sind und löschen.
Wenn es nicht geht mit dem Programm

Please, Anmelden or Registrieren to view URLs content!

löschen.

C:\WINDOWS\System32\xoaa.dll
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\TEMP\qqcw1.exe
C:\dicad\strauti\numplus.exe
C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
C:\Programme\Gemeinsame Dateien\System\com4.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\prn.exe

Poste danach bitte nochmal eine neue Hijackthis.log.

 

[chrischi3101]

Re: ishost.exe auf Rechner!!!!

Hi
Ich hab mal wieder Zeit gefunden mich um meinen Pc zu kümmern.
Und er macht weiterhin nur Ärger.

So treff ich zb anstatt eines Scannergebnis von Kaspersky einen Bluescreen an!
Und außerdem existiert die Datei msmsgs.exe nicht mehr.

Nun zu Unlocker:
Funktioniert nicht da ich trotzdem ich der Admin bin, die Meldung "Error Debugg Privilegs" beim löschen erhalte.
Da ich aber kein XP Pro habe kann ich diese Einstellung nich in de Lokalen Sicherheitseinstellung ändern!

Jetzt probier ich das mal mit Killbox.

Und großen Dank an dich Mcfly! Ohne dich wär ich echt Hilflos.

 

[chrischi3101]

Re: ishost.exe auf Rechner!!!!

Also Killbox löscht die Datein nicht.
dann also das nächste Tool mal schauen wie viele ich testen muss^^.

 

[McFly]

Re: ishost.exe auf Rechner!!!!

Ich glaube langsam das dein System dermassen vollgepackt ist mit Schädlingen das ich gerne mal
einige Kollegen an den Fall lassen möchte. Wenn die sagen der Rechner muss neu aufgesetzt werden, dann gibt es keine Alternative.

Ich möchte dich gerne an die freundlichen Kollegen und Profis verweisen die unter der Adresse:

Please, Anmelden or Registrieren to view URLs content!

zu erreichen sind.

Schreibe dort in der Kategorie "HijackThis Logfiles" bitte folgendes:
Betreff : W32/Forbot-BD auf dem Rechner (msmsgs.exe)

Bisher eingesetzte Programme: Ewido , Spybot , Ad-aware, Hijackthis, unlocker , Killbox und Kaspersky Online scanner (absturz)

Dann noch eine neue Hijackthis.log einfügen.