Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hidewindow und icr/backdoor.flood

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.11.2004, 14:17   #1
sternentreiber
 
Hidewindow und icr/backdoor.flood - Standard

Hidewindow und icr/backdoor.flood



Hi, bin absolut neu hier und auch nur hierhergekommen, da mich die absolute Verzweiflung bei der Suche nach einer Lösung hierher getrieben hat . Ich habe auf meinem Rechner Windows XP prof. gehe über eine Fritz card mit einem low-coast-router ins Internet und habe mich infiziert. Die Fehlermeldung lautet Trojaner hidewindow und ICR/backdoor.flood. bei meiner Suche im Netz bin ich auf keine Tools zum Löschen gestoßen und suche nun schon seit einigen Tagen nach einer Lösung. AVG Virenschutz, Antivier und Stinger und Konsorten konnten mir nicht helfen. Gefunden hat den Trojaner übrigens AVG, zeigt ihn mir aber nur an ohne ihn zu löschen.
Über Hilfe wäre ich dankbar
ach noch etwas. Mein Rechner ist super langsam im Netz geworden. Seitenaufbau und Emailversandt dauert Stunden! Versehentlich habe ich wohl auch schon jede Menge Mails versandt an Absender die ich nie kannte oder deren name mir nicht sagte. Ich glauge fast format c: muß her oder kann mir jemand helfen????

Alt 16.11.2004, 14:45   #2
Shadowdance
 
Hidewindow und icr/backdoor.flood - Standard

Hidewindow und icr/backdoor.flood



Hallo sternentreiber,

lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD
__________________


Alt 16.11.2004, 18:07   #3
sternentreiber
 
Hidewindow und icr/backdoor.flood - Standard

Hidewindow und icr/backdoor.flood



Vielen Dank schon mal im Vorraus. Habe mir nun alle Programme runtergeladen, werde nun versuchen das Unmögliche zu vollbringen Vielen Dank schon mal für Zeit und Geduld
__________________

Alt 18.11.2004, 22:16   #4
sternentreiber
 
Hidewindow und icr/backdoor.flood - Standard

Hidewindow und icr/backdoor.flood



Hallo Shadow zwar schon etwas her, dass du mir geantwotret hast, aber ich habe etwas gebraucht, um alles zu realisieren. Hier nun mein logfile von escan und zum Schluß noch der logfile von Hijackthis. Für mich (wie für viele wohl) nur Bömische Dörfer (zu Begin versuchte ich noch den gesamten logfile von escasn zu copieren, nur 5 MB waren wohl zuviel )
Liebe Grüße und herzlichen Dank für die Mühe vom sternentreibner
Wed Sep 22 10:56:56 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5IFKHIB\x[1].exe infected by "Worm.Win32.Padobot.gen" Virus. Action Taken: File Deleted.
Wed Sep 22 11:07:21 2004 => Total Number of Disinfected Files: 0
Tue Nov 16 19:10:22 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:25 2004 => File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:25 2004 => File C:\WINDOWS\system32\iexplore.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:25 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:26 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:27 2004 => File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:55 2004 => File C:\WINDOWS\System32\ce.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:11:23 2004 => File C:\WINDOWS\System32\fl.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:11:32 2004 => File C:\WINDOWS\System32\iexplore.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:33:16 2004 => Scanning Folder: G:\Programme\AVPersonal\INFECTED\*.*
Tue Nov 16 20:19:21 2004 => File C:\WINDOWS\system32\ud.q infected by "Worm.Win32.Randon.a" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:19:14 2004 => File C:\WINDOWS\system32\Sygate.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:19:09 2004 => File C:\WINDOWS\system32\spr.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:18:46 2004 => File C:\WINDOWS\system32\s3c.q infected by "Worm.Win32.Randon.am" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:18:44 2004 => File C:\WINDOWS\system32\rood.exe infected by "Backdoor.HacDef.084" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:18:41 2004 => File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:17:45 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:17:25 2004 => File C:\WINDOWS\system32\iexplore.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:17:16 2004 => File C:\WINDOWS\system32\fl.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:09:25 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5IFKHIB\tg[1].exe infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:09:17 2004 => File C:\WINDOWS\system32\ce.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:15:32 2004 => File C:\Dokumente und Einstellungen\Wolle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RRXJBX8W\tg[1].exe infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:13:00 2004 => File C:\WINDOWS\System32\ud.q infected by "Worm.Win32.Randon.a" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:12:53 2004 => File C:\WINDOWS\System32\Sygate.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:12:48 2004 => File C:\WINDOWS\System32\spr.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:12:40 2004 => File C:\WINDOWS\System32\s3c.q infected by "Worm.Win32.Randon.am" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:12:38 2004 => File C:\WINDOWS\System32\rood.exe infected by "Backdoor.HacDef.084" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:12:35 2004 => File C:\WINDOWS\System32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:11:52 2004 => File C:\WINDOWS\System32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:11:32 2004 => File C:\WINDOWS\System32\iexplore.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:11:23 2004 => File C:\WINDOWS\System32\fl.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:55 2004 => File C:\WINDOWS\System32\ce.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:27 2004 => File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:26 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:25 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:25 2004 => File C:\WINDOWS\system32\iexplore.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:25 2004 => File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:22 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Wed Sep 22 10:56:56 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5IFKHIB\x[1].exe infected by "Worm.Win32.Padobot.gen" Virus. Action Taken: File Deleted.

Alt 18.11.2004, 22:16   #5
sternentreiber
 
Hidewindow und icr/backdoor.flood - Standard

Hidewindow und icr/backdoor.flood



Hier nun noch Hijackthis:
Logfile of HijackThis v1.98.2
Scan saved at 19:16:03, on 16.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoftnews.com/ms/displ...tac=MRU%20List
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [] c:\windows\system32\tega.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\sygkf.exe
O4 - HKLM\..\Run: [Zonealarm] iexplore.exe
O4 - HKLM\..\Run: [Software\\Microsoft\\OLE] moode.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe
O4 - HKLM\..\Run: [.mscsbl] C:\WINDOWS\system\svhost.exe
O4 - HKLM\..\Run: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wssvr.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [MSN Updater] msnms.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\RunServices: [Zonealarm] iexplore.exe
O4 - HKLM\..\RunServices: [Software\\Microsoft\\OLE] moode.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKLM\..\RunOnce: [Zonealarm] iexplore.exe
O4 - HKLM\..\RunOnce: [Software\\Microsoft\\OLE] moode.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - http://cgi5.ebay.de/ws2/applet
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100538729787
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www1.pc-sicherheit.web.de/ols/fscax.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab


Alt 18.11.2004, 22:20   #6
Haui45
 
Hidewindow und icr/backdoor.flood - Standard

Hidewindow und icr/backdoor.flood



Mein Tipp: http://www.trojaner-board.de/showpos...28&postcount=2

Alt 18.11.2004, 22:28   #7
Shadowdance
 
Hidewindow und icr/backdoor.flood - Standard

Hidewindow und icr/backdoor.flood



Hallo sternentreiber,

das sind aber keine guten Nachrichten, die Du uns heute abend präsentierst ;-(

Zitat:
Tue Nov 16 20:18:44 2004 => File C:\WINDOWS\system32\rood.exe infected by "Backdoor.HacDef.084" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:18:41 2004 => File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:17:45 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten.
Backdoor.Win32.Wootbot.gen-> "Erläuterung" -> "Erweitert" beachten.
Backdoor.Hacdef.084-> "Erläuterung" beachten.

3 Würmer mit Backdoor-Charakter, die Schlüssel in der Registry und Code auf dem System hinterlassen. 3 Würmer, die Dritten Fremdzugriff auf Deinen Rechner erlauben. Dein System ist kompromittiert: Entfernung von Schädlingen und Kompromittierung unvermeidbar?

Ich kann Dir leider nur raten, Deine Festplatte zuformatieren - Schritt für Schritt und Dir dazu Lutz' Datensicherung und Cidre's Rat gut durchzulesen, um in Zukunft sicher im Netz zu surfen.

SD

Alt 18.11.2004, 23:00   #8
sternentreiber
 
Hidewindow und icr/backdoor.flood - Daumen hoch

Hidewindow und icr/backdoor.flood



Vielen Dank euch beiden. Die Beiträge habe ich mir ausgedruckt (inclusive der Links!), werde morgen in meinem Nachdienst darüber grübeln und mich wieder melden wenn format C: erfolgreich abgeschlossen ist! Muß ich nun Angst um meine Bankdaten haben? Ich war nicht mehr online in der Bank nachdem ich von dem Trojaner wusste!
Nichts desto trotz euch beiden und helft noch vielen weiteren unbedarften Usern die nicht immer an das Schlechte im Netz glauben!!
Vielen Dank vom sternentreiber

Alt 19.11.2004, 00:15   #9
charlie1
 
Hidewindow und icr/backdoor.flood - Standard

Hidewindow und icr/backdoor.flood



Hm, mit der Bank ist so eine Sache, falls wer drauf war, könnte er deine Kontonummer haben und eventuell deine Transaktions- PIN, aber die TAN halt nicht, den die steht ja auf einem Zettel und die alte ist verfallen, da schon gebraucht.
Umgeleitet wurdest du doch hoffentlich nicht und hast deine Daten noch mal eingegeben?
Liebe Grüße, Charlie
__________________
Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht.

Antwort

Themen zu Hidewindow und icr/backdoor.flood
absender, aufbau, avg, confused, fehlermeldung, format, fritz, hilfe, infiziert., internet, langsam, löschen, lösung, mails, meinem, neu, rechner, schutz, seite, seitenaufbau, stinger, suche, super, tools, trojaner, virenschutz, windows, windows xp



Ähnliche Themen: Hidewindow und icr/backdoor.flood


  1. Windows 7: UDP Flood aus meinem Netzwerk, Trojaner?
    Log-Analyse und Auswertung - 24.01.2014 (41)
  2. UDP Flood to Host aus meinem Netzwerk
    Antiviren-, Firewall- und andere Schutzprogramme - 14.09.2013 (14)
  3. SYN Flood Problem
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (1)
  4. Syn Flood Attacken gegen Router
    Plagegeister aller Art und deren Bekämpfung - 02.03.2012 (11)
  5. netzwerkzusammenbrüche nach UDP FLOOD
    Log-Analyse und Auswertung - 20.09.2011 (12)
  6. SYN Flood im Routerlog
    Log-Analyse und Auswertung - 30.05.2011 (2)
  7. Syn Flood T Sinus DSL 130 Router
    Mülltonne - 13.02.2011 (1)
  8. SYN Flood to Host
    Log-Analyse und Auswertung - 26.07.2010 (7)
  9. BDS/Flood.IRC.2
    Log-Analyse und Auswertung - 11.01.2010 (3)
  10. udp flood / smurf
    Überwachung, Datenschutz und Spam - 17.08.2009 (4)
  11. Backdoor.IRC.Flood Entdeckt!SOS!
    Log-Analyse und Auswertung - 30.09.2008 (0)
  12. SYN-Flood-Problem
    Plagegeister aller Art und deren Bekämpfung - 11.01.2008 (0)
  13. SYN-flood, suche nach Quelle
    Log-Analyse und Auswertung - 08.08.2006 (4)
  14. BDS.flood.AE.1 und Randon - Brauche HILFE
    Plagegeister aller Art und deren Bekämpfung - 14.07.2006 (6)
  15. Hacktool.HideWindow
    Plagegeister aller Art und deren Bekämpfung - 28.05.2006 (15)
  16. Trojaner **SYN Flood to Host...
    Plagegeister aller Art und deren Bekämpfung - 06.07.2005 (3)
  17. irc/flood.cm?
    Plagegeister aller Art und deren Bekämpfung - 08.01.2004 (2)

Zum Thema Hidewindow und icr/backdoor.flood - Hi, bin absolut neu hier und auch nur hierhergekommen, da mich die absolute Verzweiflung bei der Suche nach einer Lösung hierher getrieben hat . Ich habe auf meinem Rechner Windows - Hidewindow und icr/backdoor.flood...
Archiv
Du betrachtest: Hidewindow und icr/backdoor.flood auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.