|
Log-Analyse und Auswertung: hiderun.exe Trojaner Entfernung führte zur Systemverlangsamung?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
21.08.2010, 15:33 | #1 |
| hiderun.exe Trojaner Entfernung führte zur Systemverlangsamung? Schönen guten Tag zusammen! Erst mal möchte ich sagen, dass es schön ist das es solch ein Forum gibt und ich als Neuling hierauf gestoßen bin! ich hab mein System relativ neu aufgesetzt (ca. 3 Wochen) und habe zeitgleich viele Anti-Rootkits, Anti-Malwareprogramme installiert. Und gestern habe ich mal wieder alle durchlaufen lassen und Malwarebytes' Anti-Malware hat ein paar Trojaner gefunden und entfernt (leider muss ich zugeben, dass ich deren Namen mir nicht merkte ). Aber darunter war etwas wie "aware" und "hiderun.exe"... Nun mein eigentliches Problem: 1. Nach der Entfernung der Trojaner/Maleware macht Ad-Aware keinen vollständigen Scan mehr, bricht nach einiger Zeit ab, mit der Fehlermeldung das es unerwartet beendet wurde. 2. Wenn ich GMER benutze wird das System unglaublich langsam und auch nach Beendigung von GMER hilft nur noch ein Reset. Konnte mit viel Geduld das Logfile sichern von Gmer: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-08-21 13:36:23 Windows 5.1.2600 Service Pack 3 Running: sy0nkbvp.exe; Driver: C:\DOKUME~1\****\LOKALE~1\Temp\kgrcypow.sys ---- System - GMER 1.0.15 ---- SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xB9F8E818] SSDT BA756846 ZwCreateKey SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xB9F82A20] SSDT BA75683C ZwCreateThread SSDT BA75684B ZwDeleteKey SSDT BA756855 ZwDeleteValueKey SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xB9F832A8] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xB9F8E910] SSDT BA75685A ZwLoadKey SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xB9F8E794] SSDT BA756828 ZwOpenProcess SSDT BA75682D ZwOpenThread SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xB9F832C8] SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xB9F8E866] SSDT BA756864 ZwReplaceKey SSDT BA75685F ZwRestoreKey SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xB9F8E0B0] SSDT BA756850 ZwSetValueKey SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xACD8A620] ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 2C28 805044C4 4 Bytes CALL C8D4FEC1 .text ntkrnlpa.exe!ZwCallbackReturn + 2CE8 80504584 4 Bytes JMP BD1AFF81 .text ntkrnlpa.exe!ZwCallbackReturn + 2E88 80504724 4 Bytes CALL 0CB30121 .text C:\WINXP\system32\DRIVERS\ati2mtag.sys section is writeable [0xB97D5000, 0x253E67, 0xE8000020] ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1432] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8A681FB0 AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) Device \Driver\Cdrom \Device\CdRom0 8A50BF00 Device \FileSystem\Rdbss \Device\FsWrap 89986270 Device \Driver\Cdrom \Device\CdRom1 8A50BF00 Device \FileSystem\uiwbrdr \Device\WEBDEMiniRdr 8A5F8DE0 Device \FileSystem\Srv \Device\LanmanServer 8979F520 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A839EA8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A839EA8 Device \FileSystem\Npfs \Device\NamedPipe 8997F848 Device \FileSystem\Msfs \Device\Mailslot 8999FF30 Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 8A4AE1E8 Device \Driver\JRAID \Device\Scsi\JRAID1Port5Path0Target0Lun0 8A585F00 Device \Driver\JRAID \Device\Scsi\JRAID1 8A585F00 Device \Driver\d347prt \Device\Scsi\d347prt1 8A4AE1E8 Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 8999FA90 Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 8999FA90 Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 8999FA90 Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 8999FA90 Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 8999FA90 Device \FileSystem\Cdfs \Cdfs 89797030 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@khjeh 0x20 0x02 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z0 0x10 0x1E 0xA9 0xFC ... ---- EOF - GMER 1.0.15 ---- Ich bin für jegliche Hilfe/Anweisung dankbar! Und bedanke mich schonmal im voraus und bitte um Nachsicht für das etwas chaotische Beschreiben meiner Probleme...wusste nicht wo ich anfangen soll... freundliche Grüße von bleibsauber |
22.08.2010, 14:55 | #2 |
/// Malware-holic | hiderun.exe Trojaner Entfernung führte zur Systemverlangsamung? öffne malwarebytes, logdateien und poste die scan logs.
__________________wir könnten auch folgendes machen, du setzt den pc noch mal neu auf, und ich geb dir tipps, wie du ihn vernünftig absicherst, dazu brauchst du keine arme von scannern. |
22.08.2010, 16:09 | #3 |
| hiderun.exe Trojaner Entfernung führte zur Systemverlangsamung? Erst einmal vielen Dank für die schnelle Antwort
__________________habe Malwarebystes benutzt und er scheint nichts gefunden zu haben... Würde aber auch gerne die Tipps hören welche ein neuaufgesetztes System besser schützen ( werde vielleicht dann deinem Ratschlag folgen und es neu aufsetzen...) Hier die Logdatei: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4453 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 22.08.2010 17:02:43 mbam-log-2010-08-22 (17-02-43).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 174450 Laufzeit: 3 Minute(n), 5 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
22.08.2010, 17:00 | #4 |
/// Malware-holic | hiderun.exe Trojaner Entfernung führte zur Systemverlangsamung? 1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht. klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen. wähle "neues konto erstellen" Wähle standard benutzer. die konten sollten mit einem passwort geschützt werden. dazu auf konto endern klicken und passwörter vergeben. die uac sollte auf maximum stehen. klicke auf start, ausführen (suchen) tippe uac enter nachfrage bestätigen, regler auf höchste stufe. so ist es schwiriger heimlich etwas auf dem pc zu instalieren. Die folgenden konfigurationen als admin ausführen: 2. dep aktivieren: dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. 3. sehop aktivieren: SEHOP aktivieren: Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen klicke auf "Feature automatisch aktivieren" und folge den anweisungen 4. als browser den firefox nutzen: Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe 5. als adon noscript, es werden dadurch alle scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Adblock Plus: Bekannte Filterlisten für Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. 7. um das surfen sicherer zu machen, würde ich Sandboxie empfehlen. Download: drop.io (als pdf) wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 25 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. ab sofort also nur noch in der sanbox surfen bitte. 8. autorun für usb deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de 9. um deine software aktuell zu halten, instaliere secunia. http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com 10. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2010 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. außerdem solltest du sicherheitshalber alle passwörter endern. |
23.08.2010, 12:53 | #5 |
| hiderun.exe Trojaner Entfernung führte zur Systemverlangsamung? Vielen Dank für deine Mühe und die ausführliche Antwort!!! Wird mich zwar ein wenig Zeit kosten mich da reinzuarbeiten, aber das wird sich auf jeden Fall lohnen und zu einem hoffentlich sicheren System führen! Nochmals vielen Dank und beste Grüße, steve P.S.: hab da noch eine allgemeine Frage: angenommen ich lade eine Datei runter, worin sich ein Trojaner versteckt hat. Führt das dann automatisch dazu, dass mein Rechner infiziert ist? Oder muss man die Datei erst ausführen und den Trojaner aktivieren? |
Themen zu hiderun.exe Trojaner Entfernung führte zur Systemverlangsamung? |
.dll, ad-aware, bios, boot, cdrom, crypt, explorer.exe, fehlermeldung, forum, langsam, logfile, malwarebytes, namen, neu aufgesetzt, port, problem, registry, rojaner gefunden, scan, secur, server, shell32.dll, superantispyware, system, system32, temp, trojaner, trojaner gefunden, winxp |