Hallo!

Ich hab mir den Trojaner TR/HideRun.A.6 eingefangen!
Ich weiß nicht was ich jetzt machen soll. Wo legt er sich rein? Was macht er? etc...

Als ich bei Google etwas gesucht hatte und dann auf den link geklickt hatte, (vor ca. 2 Tagen) kam kein Bild und der explorer ladete und ladete. auf einmal schaltete sich antivir an und ich hab den trojaner 6 mal hintereinander gelöscht! heute hat er sich wieder gemeldet und ich hatte ihn 2 mal gelöscht!

ich habe dieses HijackThis program laufen gelassen und das kam dabei raus:





Logfile of HijackThis v1.98.2
Scan saved at 21:40:11, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe
C:\Programme\Motherboard Monitor 5\MBM5.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
D:\Programme\ICQLite\ICQLite.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Programme\Skype\Phone\Skype.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\susi\LOKALE~1\Temp\Rar$EX00.266\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus...rch/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.meinestadt.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus...rch/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.ewetel.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cus...//www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=proxy1.ewetel.de:8080
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "d:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Verknüpfung mit MBM5.lnk = C:\Programme\Motherboard Monitor 5\MBM5.exe
O4 - Global Startup: eBay Toolbar.LNK = C:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: An TD Biet-Assistent senden - D:\Programme\TD Biet-Assistent\IE_Catch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {1D168290-F3DF-4842-94C3-2862596771FB} - http://us.dl1.yimg.com/download.yah...ropper1_1de.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/c...DC_1_0_0_44.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...l_v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/291e604...RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} - http://secure.aconti.net/acontix/acontix.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} - http://eu.download.games.yahoo.com/...zylomloader.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.com...bio5_3_18_0.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E21B9A8-90EA-4687-ABD7-D19E09411977}: NameServer = 212.6.108.140 212.6.108.141






gruß susi

@ susi86

--> um herauszufinden, ob und welche Malware sich auf Deinem Rechner befindet, lade den eScan (Link zum Link) (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte bitte sehr genau die Anleitung. Du musst (!) für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

--> Teile uns das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt. "Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> 'virus' eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

--> Beachte bitte diese beiden Links: Entfernung von Schädlingen und Kompromittierung unvermeidbar?.

SD

ich kann die mwav.exe nicht installieren, da er mir gleich sagt, dass sie älter als 30 tage ist ?!

gruß susi

ok, es geht!

Ich komme nicht in den abgesicherten modus rein, was nun?


gruß susi

lies bitte die Anleitung, geh dann offline, und starte Deinen Rechner im abgesicherten Modus .. bitte sei so nett, nimm Dir Zeit und lies die Anleitung, dazu ist sie geschrieben worden ....

SD

so.. das program ist nach knapp 2 std. durchlaufen endlich fertig...
ich hoffe, dass ich das richtige hier reinposte, da es so extrem viel ist, nehm ich nur das ende:


Fri Feb 20 01:06:54 2004 => ***** Scanning complete. *****

Fri Feb 20 01:06:54 2004 => Total Number of Files Scanned: 73500
Fri Feb 20 01:06:54 2004 => Total Number of Virus(es) Found: 12
Fri Feb 20 01:06:54 2004 => Total Number of Disinfected Files: 0
Fri Feb 20 01:06:54 2004 => Total Number of Files Renamed: 0
Fri Feb 20 01:06:54 2004 => Total Number of Deleted Files: 0
Fri Feb 20 01:06:54 2004 => Total Number of Errors: 3
Fri Feb 20 01:06:54 2004 => Time Elapsed: 01:46:35
Fri Feb 20 01:06:54 2004 => Virus Database Date: 2004/12/01
Fri Feb 20 01:06:54 2004 => Virus Database Count: 111153

Fri Feb 20 01:06:54 2004 => Scan Completed.

Fri Feb 20 01:25:08 2004 => Virus Database Date: 2004/12/01
Fri Feb 20 01:25:08 2004 => Virus Database Count: 111153
Fri Feb 20 01:25:53 2004 => AV Library Unloaded (3)...




gruß susi

Da wir aus dieser Darstellung nicht erfahren haben von welcher Art die 12 gefundenen Viren sind, gehe wie folgt vor:

Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen (by Cidre)

Also, hier einmal die auszüge mit infected:

Fri Feb 20 00:08:09 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Fri Feb 20 01:06:54 2004 => Total Number of Disinfected Files: 0




Hier die auszüge mit virus und tagged:

Thu Feb 19 23:18:35 2004 => Scanning File C:\bases\virus.avi

Thu Feb 19 23:18:36 2004 => Virus Database Date: 2004/12/01

Thu Feb 19 23:18:36 2004 => Virus Database Count: 111153

Thu Feb 19 23:26:30 2004 => File C:\WINDOWS\Downloaded Program Files\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.

Thu Feb 19 23:26:31 2004 => File C:\WINDOWS\Downloaded Program Files\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.

Thu Feb 19 23:28:36 2004 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Thu Feb 19 23:40:12 2004 => Scanning File C:\bases\virus.avi

Thu Feb 19 23:55:49 2004 => Scanning File C:\Dokumente und Einstellungen\susi\Lokale Einstellungen\Temp\virus.avi

Thu Feb 19 23:56:12 2004 => File C:\Dokumente und Einstellungen\susi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0183078B\WinProject[1].dll tagged as not-a-virus:AdWare.WinAD.b. No Action Taken.

Fri Feb 20 00:03:42 2004 => File C:\Dokumente und Einstellungen\susi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O3XFMMZ9\bridge-c18[1].cab tagged as not-a-virus:AdWare.WinAD. No Action Taken.

Fri Feb 20 00:05:37 2004 => File C:\gendel32.exe tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken.

Fri Feb 20 00:06:10 2004 => File C:\Program Files\Windows TaskAd\WinProject.dll tagged as not-a-virus:AdWare.WinAD.b. No Action Taken.

Fri Feb 20 00:10:03 2004 => File C:\Programme\hbinst\Hbinst.exe tagged as not-a-virus:AdWare.ToolBar.Hotbar.p. No Action Taken.

Fri Feb 20 00:10:04 2004 => File C:\Programme\Hotbar\bin\Hbinst.exe tagged as not-a-virus:AdWare.ToolBar.Hotbar.p. No Action Taken.

Fri Feb 20 00:10:04 2004 => File C:\Programme\Hotbar\bin\HbInstIE.dll tagged as not-a-virus:AdWare.ToolBar.Hotbar.p. No Action Taken.

Fri Feb 20 00:21:55 2004 => File C:\treiber\sisagp47.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Fri Feb 20 00:33:44 2004 => File D:\Programme\SNAKE\setup\gendel32.ex_ tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken.

Fri Feb 20 01:06:54 2004 => ***** Checking for specific ITW Viruses *****
Fri Feb 20 01:06:54 2004 => Checking for Welchia Virus...
Fri Feb 20 01:06:54 2004 => Checking for LovGate Virus...
Fri Feb 20 01:06:54 2004 => Checking for CodeRed Virus...
Fri Feb 20 01:06:54 2004 => Checking for OpaServ Virus...
Fri Feb 20 01:06:54 2004 => Checking for Sobig.e Virus...
Fri Feb 20 01:06:54 2004 => Checking for Winupie Virus...
Fri Feb 20 01:06:54 2004 => Checking for Swen Virus...
Fri Feb 20 01:06:54 2004 => Checking for JS.Fortnight Virus...
Fri Feb 20 01:06:54 2004 => Checking for Novarg Virus...

Fri Feb 20 01:06:54 2004 => Total Number of Virus(es) Found: 12



kann man damit was anfangen?? (ich hoffe doch)

??...........

Lösche die gefundenen Dateien manuell im abg. Modus.

Diese hier nicht:

Thu Feb 19 23:28:36 2004 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.


Fri Feb 20 00:21:55 2004 => File C:\treiber\sisagp47.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

ok, habe ich gemacht... noch etwas??


gruß susi

Ja,
so´n kleines, abschließendes HJT-Logfile wäre nicht schlecht.