Hallo, ich brauche dringend Hilfe!

ich hab mir einen echt hartnäckigen Viraus eingefangen.
Er verhindert anscheinend (u.a.), dass die Antispyprogramme angezeigt werden.
Immer wenn ein solches Programm angezeigt werden soll wird das Programm beendet oder geschlossen.
Also Spybot funktionierte erst nachdem ich ihn vorher umbenannt hatte und hat auch erst was gefunden. Jetzt ist das System aber laut Spbybot sauber.
Hijackthis lies sich trotz umbennens nicht ausführen, deswegen kann ich auch keine Log File erstellen.
Escan, adaware und antivir hab ich da auch nochmal drübergeschickt. Antivir findet nach jedem Neustart die Datei hxdefdrv.sys mit dem Backdoorprogramm BDS/Hacdef. Die Datei regeneriert sich selbstständig wieder, trotz deaktivierter Systemwiederherstellung.

Hat jemand eine gute Idee?

Vielen Dank!

Hallo erwin007,

zu diesem Backdoor-Trojaner gibt es folgende Information: Troj/HacDef-F. Versuch's mal mit einem Online-Scan: eine Auswahl kostenloser Online-Scan -Programme.

TrojanCheck ist eine wirkungsvolle Hilfe, um das Eindringen solcher Trojaner zu verhindern. Jede Veränderung in der Registry wird angezeigt, wenn man den Wächter laufen läßt. Auf diese Weise kann man selbst bestimmen, welche Registry-Einträge man erlaubt und welche nicht. Somit ist man wirkungsvoll informiert, wenn Prozesse gestartet bzw. beendet werden.

SD

Zitat:

Zitat von erwin007

Hallo, ich brauche dringend Hilfe!

ich hab mir einen echt hartnäckigen Viraus eingefangen.
Er verhindert anscheinend (u.a.), dass die Antispyprogramme angezeigt werden.
Immer wenn ein solches Programm angezeigt werden soll wird das Programm beendet oder geschlossen.
Also Spybot funktionierte erst nachdem ich ihn vorher umbenannt hatte und hat auch erst was gefunden. Jetzt ist das System aber laut Spbybot sauber.
[...]
Hat jemand eine gute Idee?

Vielen Dank!

Koenntest Du deinen Rechner mit Spybot nochmal scannen und uns dann dein Spybot Report mal an detections[AT]spybot.info schicken.



Gruss
Michael

Klasse dass Ihr mir helft!

Alles klar mit wildem umbennen hab ich jetzt HijackThis starten können und ein Logfile speichern können(unter dem vorgeschlagenen Namem Hijackthis.log war es nämlich nicht möglich (war die datei wieder nicht verfügbar(versteckt?))

Aber hier das Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 23:07:25, on 15.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SCARDS32.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\virenscanner\2HiijacckThhis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von osnatel
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.osnatel.de
O16 - DPF: {10000000-0000-0000-0000-000000000000} - http://213.159.118.226/x/x.exe
O16 - DPF: {358DF899-C98C-4A31-AABA-E110A0E6BF1D} (Acw Control) - https://img.web.de/v/comwin/activex/acw_1034.cab

@ erwin007,

- hast Du einen Online-Scan (Online-Scan-Auswahl) vorgenommen? Ergebnis?
- versuche eScan zu downloaden, entsprechend der Anweisung. Nicht vergessen online updaten, offline, im abgesicherten Modus scannen. Die Malware muss von Hand gelöscht werden.

Viel Erfolg.
SD

Also ich hab dann mal einen Scanner von Symantec laufen lassen und de hat auch welche bisher unbekannte gefunden.

C:\Recycled\Dc522.tmp is infected with Trojan.Adclicker
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6Q6511KU\index[1].htm.mwt is infected with Bloodhound.Exploit.6
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PCLLV5LR\x[1].exe.mwt is infected with Backdoor.HackDefender
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A7471A3U\index[3].htm.mwt is infected with Bloodhound.Exploit.6
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A7471A3U\r[1].exe%00r.exe is infected with Trojan.Adclicker
Und den bekannten hxdefdrv.sys der bei dem Zugriff von Antivir erkannt und gelöscht wurde.

Nrr1 kann ich nicht finden
Nr.2-5 wird der ordner nicht angezeigt!?

Bin ja etwas vorsichtig bei online scannern, da mein sytem ja im Moment infiziert ist und ich denke, dass es beim online gehen eher noch mehr wird mit dem Befall.

escan hab ich auch noch mal im abgesicherten Modus laufen lassen hatte die Version erst vor 3 Tagen runtergeladen Ver. 4.4.7
die Datei hxdefdrv.sys taucht ja immer wieder auf.

hier die escan log Informationen:
File C:\WINDOWS\hxdefdrv.sys infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\GL_3.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\CD\Hanna\sheep.zip tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\CD\Hanna\Stundenplan\STD_2.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\CD\Progr\ACDSEE.20\ACDC3220.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\CD\Progr\Pool\ACDSee Win95 2.3.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\CD\Progr\Paint Shop Pro 4.14\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\CD\Progr\Paint Shop Pro 4.14\UPDATE\PSP414U.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\Video\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

@ erwin007

Zitat:

die Datei hxdefdrv.sys taucht ja immer wieder auf.

File C:\WINDOWS\hxdefdrv.sys infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.

Sophos Virenlexikon: -->Erläuterung zu Backdoor.HacDef.

"Neben unbefugten Fernzugriff auf den Computer des Opfers kann dieser Trojaner auch Informationen über das befallene System verbergen, u.a. Dateien, Ordner, Prozesse, Dienste und Registrierungseinträge."

Die C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ kannst Du leeren, manuell oder mit dem Clear Prog - Ordner kannst Du anzeigen lassen: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren

Aber das nützt Dir alles nichts. Dein System ist kompromittiert. Wenn Du eine sichere Lösung möchtest, musst Du Dein System formatieren+neuaufsetzen

Zitat:

Zitat von Cidre

[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

SD

Hallo, tja ich bin den Dreck immer noch nicht los, hab aber jetzt eine Anleitung gefunden, wie man den Anscheinend herstellt. Kann man da nicht im Gegenschluss die Abwehrmaßnahmen draus ableiten?

Was ich brauche ist ein Tool, dass mir die wirklichen Dateien anzeigt so wie der Explorer früher war und auch die wirklich vorhandenen Registry Einträge.
Hat jemand sowas?