Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Wer kennt die Trojaner TR/HideRun.A6 u. TR/ HideRun.A7 (https://www.trojaner-board.de/10927-kennt-trojaner-tr-hiderun-a6-u-tr-hiderun-a7.html)

Pau5Le 18.12.2004 19:33
Wer kennt die Trojaner TR/HideRun.A6 u. TR/ HideRun.A7
 
Sie wurden in meinem PC durch AntiVir entdeckt u. befinden sich in einem durch WinZip gepackten Archiv. Nämlich hier:

C:\_RESTORE\ARCHIVE
FS1596.CAB
ArchiveType: CAB (Microsoft)
--> A0178806.CPY
[FUND!] Ist das Trojanische Pferd TR/HideRun.A.7
--> A0178808.CPY
[FUND!] Ist das Trojanische Pferd TR/HideRun.A.6

AntiVir will oder kann sie nicht löschen. CWShredder, AdAware u. Spaybot-S&D erkennt sie garnicht, obwohl ich das neueste Update's habe. Die temporären Offline Dateien habe ich auch schon im abgesicherten Modus ohne Erfolg gelöscht. Von Hand lassen sie sich auch nicht löschen. Da kommt dann immer der Satz von der noch geöffneten Quelldatei.
Wenn mir jemand helfen könnte, währe ich sehr froh.
Noch eine Frage an die Fachleute: Können Trojaner überhaupt Schaden anrichten wenn sie sich, so wie bei mir, im gepackten Archiv befinden?

Vielen Dank für Eure Mühe und (hoffentlich) Hilfe im Vorraus.
Gruss Pau5Le.

chaosman 18.12.2004 19:57
@Pau5Le
falls du XP hast, deaktiviere dein systemwiederherstellung, neu booten, systemwiederherstellung aktivieren

CWShredder, AdAware u. Spaybot-S&D erkennt sie garnicht, obwohl ich das neueste Update's habe.
sind keine antivirenprogramme.

poste doch mal ein Hijackthislogfile
download
anleitung
chaosman

Pau5Le 19.12.2004 19:33
Hallo Caosman,

Hier kommt mein "hijackthis.log"

Logfile of HijackThis v1.98.2
Scan saved at 19:13:23, on 19.12.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\UNZIPPED\FREEMEX\FREEMEX.EXE
C:\PROGRAMME\BROWSER MOUSE\BROWSER MOUSE\1.1\MOUSE32A.EXE
C:\PROGRAMME\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
D:\PROGRAMME\AHEAD\NERO BACKITUP\NBJ.EXE
C:\PROGRAMME\SIBER SYSTEMS\AI ROBOFORM\ROBOTASKBARICON.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\CRAZY BROWSER\CRAZY BROWSER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\UNZIPPED\HIJACKTHIS_198\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\ROBOFORM.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAMME\MSN APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\ROBOFORM.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [CHZ FreeMeX] C:\UNZIPPED\FREEMEX\FREEMEX.EXE
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [NBJ] "D:\PROGRAMME\AHEAD\NERO BACKITUP\NBJ.EXE"
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

Wie Du oben bestimmt gelesen hast arbeite ich nicht mit Windows XP,
sondern mit Windows ME.

Vielen Dank übrigens für Deine schnelle Antwort.

Gruss Pau5Le

Shadowdance 19.12.2004 20:38
@ Pau5Le,

scanne Dein System mal vorsichtshalber mit dem eScan - laut Anweisung, bitte lesen.

SD

Pau5Le 24.12.2004 19:08
Zitat:
Zitat von Pau5Le
Sie wurden in meinem PC durch AntiVir entdeckt u. befinden sich in einem durch WinZip gepackten Archiv. Nämlich hier:

C:\_RESTORE\ARCHIVE
FS1596.CAB
ArchiveType: CAB (Microsoft)
--> A0178806.CPY
[FUND!] Ist das Trojanische Pferd TR/HideRun.A.7
--> A0178808.CPY
[FUND!] Ist das Trojanische Pferd TR/HideRun.A.6

AntiVir will oder kann sie nicht löschen. CWShredder, AdAware u. Spaybot-S&D erkennt sie garnicht, obwohl ich das neueste Update's habe. Die temporären Offline Dateien habe ich auch schon im abgesicherten Modus ohne Erfolg gelöscht. Von Hand lassen sie sich auch nicht löschen. Da kommt dann immer der Satz von der noch geöffneten Quelldatei.
Wenn mir jemand helfen könnte, währe ich sehr froh.
Noch eine Frage an die Fachleute: Können Trojaner überhaupt Schaden anrichten wenn sie sich, so wie bei mir, im gepackten Archiv befinden?

Vielen Dank für Eure Mühe und (hoffentlich) Hilfe im Vorraus.
Gruss Pau5Le.

Hallo,

Nach Ausschalten der Systemwiederherstellung, scannen mit AntiVir im abgesicherten Modus,neu booten, Wiedereinschalten der Systemwiederherstellung, ist die infizierte Datei mit den beiden Trojanern verschwunden.
Ich hoffe, das ich sie komplett erwischt habe.
Nach erneutem scannen mit AntiVir sind jedenfalls keine Auffälligkeiten mehr
vorhanden.
Gruss Pau5Le


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131