|
BITEE UM HILFE TR/HideRun.A.6 Hallo! Ich hab mir den Trojaner TR/HideRun.A.6 eingefangen! Ich weiß nicht was ich jetzt machen soll. Wo legt er sich rein? Was macht er? etc... Als ich bei Google etwas gesucht hatte und dann auf den link geklickt hatte, (vor ca. 2 Tagen) kam kein Bild und der explorer ladete und ladete. auf einmal schaltete sich antivir an und ich hab den trojaner 6 mal hintereinander gelöscht! heute hat er sich wieder gemeldet und ich hatte ihn 2 mal gelöscht! ich habe dieses HiJackThis program laufen gelassen und das kam dabei raus: Logfile of HijackThis v1.98.2 Scan saved at 21:40:11, on 01.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\WINDOWS\system32\RUNDLL32.EXE D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe C:\Programme\Motherboard Monitor 5\MBM5.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe D:\Programme\ICQLite\ICQLite.exe D:\PROGRA~1\INCRED~1\bin\IMApp.exe D:\Programme\Skype\Phone\Skype.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWIN.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\susi\LOKALE~1\Temp\Rar$EX00.266\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus...rch/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.meinestadt.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus...rch/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.ewetel.de R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cus...//www.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=proxy1.ewetel.de:8080 O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [QuickTime Task] "d:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Verknüpfung mit MBM5.lnk = C:\Programme\Motherboard Monitor 5\MBM5.exe O4 - Global Startup: eBay Toolbar.LNK = C:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: An TD Biet-Assistent senden - D:\Programme\TD Biet-Assistent\IE_Catch.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe O16 - DPF: {1D168290-F3DF-4842-94C3-2862596771FB} - http://us.dl1.yimg.com/download.yah...ropper1_1de.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/c...DC_1_0_0_44.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...l_v1-0-3-17.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/291e604...RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} - http://secure.aconti.net/acontix/acontix.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} - http://eu.download.games.yahoo.com/...zylomloader.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.com...bio5_3_18_0.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3E21B9A8-90EA-4687-ABD7-D19E09411977}: NameServer = 212.6.108.140 212.6.108.141 gruß susi |
@ susi86 --> um herauszufinden, ob und welche Malware sich auf Deinem Rechner befindet, lade den eScan (Link zum Link) (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte bitte sehr genau die Anleitung. Du musst (!) für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. --> Teile uns das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt. "Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> 'virus' eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) --> Beachte bitte diese beiden Links: Entfernung von Schädlingen und Kompromittierung unvermeidbar?. SD |
ich kann die mwav.exe nicht installieren, da er mir gleich sagt, dass sie älter als 30 tage ist ?! gruß susi |
ok, es geht! |
Ich komme nicht in den abgesicherten modus rein, was nun? gruß susi |
lies bitte die Anleitung, geh dann offline, und starte Deinen Rechner im abgesicherten Modus .. bitte sei so nett, nimm Dir Zeit und lies die Anleitung, dazu ist sie geschrieben worden .... SD |
so.. das program ist nach knapp 2 std. durchlaufen endlich fertig... ich hoffe, dass ich das richtige hier reinposte, da es so extrem viel ist, nehm ich nur das ende: Fri Feb 20 01:06:54 2004 => ***** Scanning complete. ***** Fri Feb 20 01:06:54 2004 => Total Number of Files Scanned: 73500 Fri Feb 20 01:06:54 2004 => Total Number of Virus(es) Found: 12 Fri Feb 20 01:06:54 2004 => Total Number of Disinfected Files: 0 Fri Feb 20 01:06:54 2004 => Total Number of Files Renamed: 0 Fri Feb 20 01:06:54 2004 => Total Number of Deleted Files: 0 Fri Feb 20 01:06:54 2004 => Total Number of Errors: 3 Fri Feb 20 01:06:54 2004 => Time Elapsed: 01:46:35 Fri Feb 20 01:06:54 2004 => Virus Database Date: 2004/12/01 Fri Feb 20 01:06:54 2004 => Virus Database Count: 111153 Fri Feb 20 01:06:54 2004 => Scan Completed. Fri Feb 20 01:25:08 2004 => Virus Database Date: 2004/12/01 Fri Feb 20 01:25:08 2004 => Virus Database Count: 111153 Fri Feb 20 01:25:53 2004 => AV Library Unloaded (3)... gruß susi |
Da wir aus dieser Darstellung nicht erfahren haben von welcher Art die 12 gefundenen Viren sind, gehe wie folgt vor: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen (by Cidre) |
Also, hier einmal die auszüge mit infected: Fri Feb 20 00:08:09 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Fri Feb 20 01:06:54 2004 => Total Number of Disinfected Files: 0 Hier die auszüge mit virus und tagged: Thu Feb 19 23:18:35 2004 => Scanning File C:\bases\virus.avi Thu Feb 19 23:18:36 2004 => Virus Database Date: 2004/12/01 Thu Feb 19 23:18:36 2004 => Virus Database Count: 111153 Thu Feb 19 23:26:30 2004 => File C:\WINDOWS\Downloaded Program Files\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken. Thu Feb 19 23:26:31 2004 => File C:\WINDOWS\Downloaded Program Files\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken. Thu Feb 19 23:28:36 2004 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Thu Feb 19 23:40:12 2004 => Scanning File C:\bases\virus.avi Thu Feb 19 23:55:49 2004 => Scanning File C:\Dokumente und Einstellungen\susi\Lokale Einstellungen\Temp\virus.avi Thu Feb 19 23:56:12 2004 => File C:\Dokumente und Einstellungen\susi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0183078B\WinProject[1].dll tagged as not-a-virus:AdWare.WinAD.b. No Action Taken. Fri Feb 20 00:03:42 2004 => File C:\Dokumente und Einstellungen\susi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O3XFMMZ9\bridge-c18[1].cab tagged as not-a-virus:AdWare.WinAD. No Action Taken. Fri Feb 20 00:05:37 2004 => File C:\gendel32.exe tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken. Fri Feb 20 00:06:10 2004 => File C:\Program Files\Windows TaskAd\WinProject.dll tagged as not-a-virus:AdWare.WinAD.b. No Action Taken. Fri Feb 20 00:10:03 2004 => File C:\Programme\hbinst\Hbinst.exe tagged as not-a-virus:AdWare.ToolBar.Hotbar.p. No Action Taken. Fri Feb 20 00:10:04 2004 => File C:\Programme\Hotbar\bin\Hbinst.exe tagged as not-a-virus:AdWare.ToolBar.Hotbar.p. No Action Taken. Fri Feb 20 00:10:04 2004 => File C:\Programme\Hotbar\bin\HbInstIE.dll tagged as not-a-virus:AdWare.ToolBar.Hotbar.p. No Action Taken. Fri Feb 20 00:21:55 2004 => File C:\treiber\sisagp47.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Fri Feb 20 00:33:44 2004 => File D:\Programme\SNAKE\setup\gendel32.ex_ tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken. Fri Feb 20 01:06:54 2004 => ***** Checking for specific ITW Viruses ***** Fri Feb 20 01:06:54 2004 => Checking for Welchia Virus... Fri Feb 20 01:06:54 2004 => Checking for LovGate Virus... Fri Feb 20 01:06:54 2004 => Checking for CodeRed Virus... Fri Feb 20 01:06:54 2004 => Checking for OpaServ Virus... Fri Feb 20 01:06:54 2004 => Checking for Sobig.e Virus... Fri Feb 20 01:06:54 2004 => Checking for Winupie Virus... Fri Feb 20 01:06:54 2004 => Checking for Swen Virus... Fri Feb 20 01:06:54 2004 => Checking for JS.Fortnight Virus... Fri Feb 20 01:06:54 2004 => Checking for Novarg Virus... Fri Feb 20 01:06:54 2004 => Total Number of Virus(es) Found: 12 kann man damit was anfangen?? (ich hoffe doch) |
??........... |
Lösche die gefundenen Dateien manuell im abg. Modus. Diese hier nicht: Thu Feb 19 23:28:36 2004 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Fri Feb 20 00:21:55 2004 => File C:\treiber\sisagp47.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. |
ok, habe ich gemacht... noch etwas?? gruß susi |
Ja, so´n kleines, abschließendes HJT-Logfile wäre nicht schlecht. ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:59 Uhr. |
Copyright ©2000-2024, Trojaner-Board