Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: hilfe gesucht - HideRun.aa.7 und 6

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 26.11.2004, 08:29   #1
janus
 
hilfe gesucht - HideRun.aa.7 und 6 - Icon21

hilfe gesucht - HideRun.aa.7 und 6



hallo,
habe einen bösen trojaner auf dem rechner, der von antivir bei jedem neustart erkannt wird (hiderun.a.7 und a.6), aber nicht in den griff zu bekomen ist. habe mit hijack einen logfile erstellt. wo ist der wurm drin?

Logfile of HijackThis v1.98.2
Scan saved at 08:23:32, on 26.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programme\HPQ\One-Touch\OneTouch.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SYSCFG16.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\explorer.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\aennae\Eigene Dateien\HijackThis.exe

F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows Automatic Updates] dvldr.exe
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\RunServices: [Windows Automatic Updates] dvldr.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...0b2162844c01b2
O17 - HKLM\System\CCS\Services\Tcpip\..\{1538D5E8-2F06-4E71-AE3D-F1D14E54E8D0}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1538D5E8-2F06-4E71-AE3D-F1D14E54E8D0}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1538D5E8-2F06-4E71-AE3D-F1D14E54E8D0}: NameServer = 192.168.1.1

vielen dank fü eure hilfe!

Alt 26.11.2004, 13:12   #2
chaosman
 
hilfe gesucht - HideRun.aa.7 und 6 - Standard

hilfe gesucht - HideRun.aa.7 und 6



@janus
lade dir escan
programm genauso einsetzen wie hier beschrieben wird
danach Escan anweisungen löschen
"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre). Systemwiederherstellung aktivieren, in den normalen Modus booten.
escan dauert 1 - 2 stunden.
danach hier ein HJT logfile posten und die ergebnisse die escan gefunden hat.
http://www.hijackthis.de/

chaosman
__________________

__________________

Alt 26.11.2004, 22:14   #3
janus
 
hilfe gesucht - HideRun.aa.7 und 6 - Standard

hilfe gesucht - HideRun.aa.7 und 6



hallo chaosman,

vielen dank für die hilfe. habe alle anweisungen ausgeführt. hier das log:

Logfile of HijackThis v1.98.2
Scan saved at 22:10:43, on 26.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programme\HPQ\One-Touch\OneTouch.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SYSCFG16.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\aennae\Eigene Dateien\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...0b2162844c01b2
O17 - HKLM\System\CCS\Services\Tcpip\..\{1538D5E8-2F06-4E71-AE3D-F1D14E54E8D0}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1538D5E8-2F06-4E71-AE3D-F1D14E54E8D0}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1538D5E8-2F06-4E71-AE3D-F1D14E54E8D0}: NameServer = 192.168.1.1

sieht bislang gut aus. das virus hat sich nicht mehr gemeldet. sollte trotzdem noch mist im log stehen, bin ich für jeden hinweis dankbar.

vielen dank
__________________

Alt 26.11.2004, 22:23   #4
Haui45
 
hilfe gesucht - HideRun.aa.7 und 6 - Standard

hilfe gesucht - HideRun.aa.7 und 6



Poste bitte was von escan gefunden wurde
"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen (Cidre)

Alt 30.11.2004, 20:13   #5
janus
 
hilfe gesucht - HideRun.aa.7 und 6 - Standard

hilfe gesucht - HideRun.aa.7 und 6



hallo,

habs eben gemacht: leider geht der Spass von vorne los. hier die gefundenen meldungen:

File c:\windows\gfjh.exe infected by "Trojan-Clicker.Win32.Small.bx" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSCFG16.EXE infected by "Backdoor.Win32.Wisdoor.aa" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\explorer.exe infected by "Backdoor.Win32.Rbot.dp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\Explorer.exe infected by "Backdoor.Win32.Rbot.dp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSCFG16.EXE infected by "Backdoor.Win32.Wisdoor.aa" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSCFG16.EXE infected by "Backdoor.Win32.Wisdoor.aa" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\explorer.exe infected by "Backdoor.Win32.Rbot.dp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\explorer.exe infected by "Backdoor.Win32.Rbot.dp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\explorer.exe infected by "Backdoor.Win32.Rbot.dp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\gfjh.exe infected by "Trojan-Clicker.Win32.Small.bx" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSCFG16.EXE infected by "Backdoor.Win32.Wisdoor.aa" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\explorer.exe infected by "Backdoor.Win32.Rbot.dp" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\aennae\LOKALE~1\Temp\ICD1.tmp\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\DOKUME~1\aennae\LOKALE~1\Temp\ICD2.tmp\WinTaskAdX.dll tagged as Traces of "CodeRed" found and cleaned !!!


Alt 30.11.2004, 20:39   #6
Haui45
 
hilfe gesucht - HideRun.aa.7 und 6 - Standard

hilfe gesucht - HideRun.aa.7 und 6



Tja bei den aktiven Backdoors gibts leider nur eins => http://www.trojaner-board.de/showpos...28&postcount=2
Pflichtlektüre: http://www.mathematik.uni-marburg.de...ompromise.html
Infos zum Rbot

Antwort

Themen zu hilfe gesucht - HideRun.aa.7 und 6
adobe, antivir, bho, dateien, drivers, einstellungen, explorer, firefox, google, hijack, hijackthis, hilfe, internet, internet explorer, logfile, microsoft, mozilla, mozilla firefox, neustart, notebook, programme, system, tcpip, trojaner, updates, windows, windows system, windows xp, wurm



Ähnliche Themen: hilfe gesucht - HideRun.aa.7 und 6


  1. Hilfe gesucht bei GUV Trojaner
    Plagegeister aller Art und deren Bekämpfung - 01.08.2012 (1)
  2. System hat Performancelöcher! Hilfe gesucht!
    Alles rund um Windows - 17.06.2010 (12)
  3. hilfe gesucht, spammail?
    Antiviren-, Firewall- und andere Schutzprogramme - 31.05.2009 (2)
  4. guten trojaner gesucht hilfe pls
    Mülltonne - 22.09.2008 (1)
  5. hilfe gesucht
    Mülltonne - 05.07.2008 (0)
  6. NEED HELP! hilfe gesucht
    Log-Analyse und Auswertung - 18.12.2006 (5)
  7. Hilfe gesucht!
    Log-Analyse und Auswertung - 31.12.2005 (2)
  8. Hilfe gesucht
    Log-Analyse und Auswertung - 29.05.2005 (3)
  9. Wurmproblem!!! Hilfe gesucht
    Plagegeister aller Art und deren Bekämpfung - 28.03.2005 (6)
  10. Hilfe gesucht
    Log-Analyse und Auswertung - 06.01.2005 (17)
  11. Wer kennt die Trojaner TR/HideRun.A6 u. TR/ HideRun.A7
    Plagegeister aller Art und deren Bekämpfung - 24.12.2004 (4)
  12. Dringend Hilfe Gesucht !!!
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (2)
  13. Trojanisches Pferd TR/HideRun.A.8 - Hilfe!!
    Plagegeister aller Art und deren Bekämpfung - 07.12.2004 (1)
  14. BITEE UM HILFE TR/HideRun.A.6
    Plagegeister aller Art und deren Bekämpfung - 02.12.2004 (12)
  15. Benötige Hilfe bei Trojaner HideRun.A.5
    Log-Analyse und Auswertung - 02.12.2004 (1)
  16. TR/HideRun.A.6 bitte um Hilfe
    Log-Analyse und Auswertung - 02.12.2004 (1)
  17. TR/HideRun.A.5 HILFE
    Plagegeister aller Art und deren Bekämpfung - 19.11.2004 (3)

Zum Thema hilfe gesucht - HideRun.aa.7 und 6 - hallo, habe einen bösen trojaner auf dem rechner, der von antivir bei jedem neustart erkannt wird (hiderun.a.7 und a.6), aber nicht in den griff zu bekomen ist. habe mit hijack - hilfe gesucht - HideRun.aa.7 und 6...
Archiv
Du betrachtest: hilfe gesucht - HideRun.aa.7 und 6 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.