Hidewindow und icr/backdoor.flood

sternentreiber · 16.11.2004, 14:17

Hi, bin absolut neu hier

und auch nur hierhergekommen, da mich die absolute Verzweiflung bei der Suche nach einer Lösung hierher getrieben hat

. Ich habe auf meinem Rechner Windows XP prof. gehe über eine Fritz card mit einem low-coast-router ins Internet und habe mich infiziert. Die Fehlermeldung lautet Trojaner hidewindow und ICR/backdoor.flood. bei meiner Suche im Netz bin ich auf keine Tools zum Löschen gestoßen und suche nun schon seit einigen Tagen nach einer Lösung. AVG Virenschutz, Antivier und Stinger und Konsorten konnten mir nicht helfen. Gefunden hat den Trojaner übrigens AVG, zeigt ihn mir aber nur an ohne ihn zu löschen.
Über Hilfe wäre ich dankbar
ach noch etwas. Mein Rechner ist super langsam im Netz geworden. Seitenaufbau und Emailversandt dauert Stunden! Versehentlich habe ich wohl auch schon jede Menge Mails versandt an Absender die ich nie kannte oder deren name mir nicht sagte. Ich glauge fast format c: muß her oder kann mir jemand helfen????

Shadowdance · 16.11.2004, 14:45

Hallo sternentreiber,

lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

sternentreiber · 16.11.2004, 18:07

Vielen Dank schon mal im Vorraus. Habe mir nun alle Programme runtergeladen, werde nun versuchen das Unmögliche zu vollbringen

Vielen Dank schon mal für Zeit und Geduld

sternentreiber · 18.11.2004, 22:16

Hallo Shadow zwar schon etwas her, dass du mir geantwotret hast, aber ich habe etwas gebraucht, um alles zu realisieren. Hier nun mein logfile von escan und zum Schluß noch der logfile von Hijackthis. Für mich (wie für viele wohl) nur Bömische Dörfer (zu Begin versuchte ich noch den gesamten logfile von escasn zu copieren, nur 5 MB waren wohl zuviel

)
Liebe Grüße und herzlichen Dank für die Mühe vom sternentreibner
Wed Sep 22 10:56:56 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5IFKHIB\x[1].exe infected by "Worm.Win32.Padobot.gen" Virus. Action Taken: File Deleted.
Wed Sep 22 11:07:21 2004 => Total Number of Disinfected Files: 0
Tue Nov 16 19:10:22 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:25 2004 => File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:25 2004 => File C:\WINDOWS\system32\iexplore.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:25 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:26 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:27 2004 => File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:55 2004 => File C:\WINDOWS\System32\ce.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:11:23 2004 => File C:\WINDOWS\System32\fl.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:11:32 2004 => File C:\WINDOWS\System32\iexplore.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:33:16 2004 => Scanning Folder: G:\Programme\AVPersonal\INFECTED\*.*
Tue Nov 16 20:19:21 2004 => File C:\WINDOWS\system32\ud.q infected by "Worm.Win32.Randon.a" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:19:14 2004 => File C:\WINDOWS\system32\Sygate.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:19:09 2004 => File C:\WINDOWS\system32\spr.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:18:46 2004 => File C:\WINDOWS\system32\s3c.q infected by "Worm.Win32.Randon.am" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:18:44 2004 => File C:\WINDOWS\system32\rood.exe infected by "Backdoor.HacDef.084" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:18:41 2004 => File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:17:45 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:17:25 2004 => File C:\WINDOWS\system32\iexplore.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:17:16 2004 => File C:\WINDOWS\system32\fl.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:09:25 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5IFKHIB\tg[1].exe infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:09:17 2004 => File C:\WINDOWS\system32\ce.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:15:32 2004 => File C:\Dokumente und Einstellungen\Wolle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RRXJBX8W\tg[1].exe infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:13:00 2004 => File C:\WINDOWS\System32\ud.q infected by "Worm.Win32.Randon.a" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:12:53 2004 => File C:\WINDOWS\System32\Sygate.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:12:48 2004 => File C:\WINDOWS\System32\spr.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:12:40 2004 => File C:\WINDOWS\System32\s3c.q infected by "Worm.Win32.Randon.am" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:12:38 2004 => File C:\WINDOWS\System32\rood.exe infected by "Backdoor.HacDef.084" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:12:35 2004 => File C:\WINDOWS\System32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:11:52 2004 => File C:\WINDOWS\System32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:11:32 2004 => File C:\WINDOWS\System32\iexplore.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:11:23 2004 => File C:\WINDOWS\System32\fl.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:55 2004 => File C:\WINDOWS\System32\ce.q infected by "Win32.HLLP.Randon" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:27 2004 => File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:26 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:25 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:25 2004 => File C:\WINDOWS\system32\iexplore.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:25 2004 => File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:10:22 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Wed Sep 22 10:56:56 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5IFKHIB\x[1].exe infected by "Worm.Win32.Padobot.gen" Virus. Action Taken: File Deleted.

sternentreiber · 18.11.2004, 22:16

Hier nun noch Hijackthis:
Logfile of HijackThis v1.98.2
Scan saved at 19:16:03, on 16.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoftnews.com/ms/displ...tac=MRU%20List
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [] c:\windows\system32\tega.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\sygkf.exe
O4 - HKLM\..\Run: [Zonealarm] iexplore.exe
O4 - HKLM\..\Run: [Software\\Microsoft\\OLE] moode.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe
O4 - HKLM\..\Run: [.mscsbl] C:\WINDOWS\system\svhost.exe
O4 - HKLM\..\Run: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wssvr.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [MSN Updater] msnms.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\RunServices: [Zonealarm] iexplore.exe
O4 - HKLM\..\RunServices: [Software\\Microsoft\\OLE] moode.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKLM\..\RunOnce: [Zonealarm] iexplore.exe
O4 - HKLM\..\RunOnce: [Software\\Microsoft\\OLE] moode.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - http://cgi5.ebay.de/ws2/applet
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100538729787
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www1.pc-sicherheit.web.de/ols/fscax.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab

Haui45 · 18.11.2004, 22:20

Mein Tipp: http://www.trojaner-board.de/showpos...28&postcount=2

Shadowdance · 18.11.2004, 22:28

Hallo sternentreiber,

das sind aber keine guten Nachrichten, die Du uns heute abend präsentierst ;-(

Zitat:

Tue Nov 16 20:18:44 2004 => File C:\WINDOWS\system32\rood.exe infected by "Backdoor.HacDef.084" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:18:41 2004 => File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Nov 16 20:17:45 2004 => File C:\WINDOWS\system32\moode.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.

Die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten.
Backdoor.Win32.Wootbot.gen-> "Erläuterung" -> "Erweitert" beachten.
Backdoor.Hacdef.084-> "Erläuterung" beachten.

3 Würmer mit Backdoor-Charakter, die Schlüssel in der Registry und Code auf dem System hinterlassen. 3 Würmer, die Dritten Fremdzugriff auf Deinen Rechner erlauben. Dein System ist kompromittiert: Entfernung von Schädlingen und Kompromittierung unvermeidbar?

Ich kann Dir leider nur raten, Deine Festplatte zuformatieren - Schritt für Schritt und Dir dazu Lutz' Datensicherung und Cidre's Rat gut durchzulesen, um in Zukunft sicher im Netz zu surfen.

SD

sternentreiber · 18.11.2004, 23:00

Vielen Dank euch beiden. Die Beiträge habe ich mir ausgedruckt (inclusive der Links!), werde morgen in meinem Nachdienst darüber grübeln und mich wieder melden wenn format C: erfolgreich abgeschlossen ist! Muß ich nun Angst um meine Bankdaten haben? Ich war nicht mehr online in der Bank nachdem ich von dem Trojaner wusste!
Nichts desto trotz euch beiden

und helft noch vielen weiteren unbedarften Usern die nicht immer an das Schlechte im Netz glauben!!
Vielen Dank vom sternentreiber

charlie1 · 19.11.2004, 00:15

Hm, mit der Bank ist so eine Sache, falls wer drauf war, könnte er deine Kontonummer haben und eventuell deine Transaktions- PIN, aber die TAN halt nicht, den die steht ja auf einem Zettel und die alte ist verfallen, da schon gebraucht.
Umgeleitet wurdest du doch hoffentlich nicht und hast deine Daten noch mal eingegeben?
Liebe Grüße, Charlie

Hidewindow und icr/backdoor.flood

Log-Analyse und Auswertung: Hidewindow und icr/backdoor.flood