BDS/HacDef.073.B.1
 

Nabend zusammen,

ich bastle nun schon drei Tage an meinem Rechner rum und kriege einfach die Kurve nicht.

Bei meinen E-Mails wird automatisch immer folgender Link angehängt:

Heir ist dein Rechnung:

http://EMMAHOLLIDAY.CO.UK/basement/Rechnung.rar

Nachdem ich nun schon mehrere Virenscanprogramme gefahren habe und diese auch jede Menge Viren, Trojaner etc. gefunden und gelöscht haben, ist das E-Mail Problem leider immer noch nicht behoben. Eine Warnmeldung taucht immer wieder auf:

C:\System Volume Information\...\A0130232.sys
Enthält eine Signatur des (gefährlichen) Backdoorprogramms
BDS/HacDef.073.B.1

Löschen ist anscheinend zwecklos. Nachdem ich auf dieser Seite ein wenig recherchiert habe, befürchte ich, das mein E-Mail Problem mit diesem Backdoorprogramm zusammenhängt.

Leider habe ich überhaupt keine Erfahrung in der Bekämpfung von Trojanern etc. Darum habe ich die ganzen Tipps zur Beseitigung von diesem speziellen Backdoorprogramm im Forum zwar gelesen, aber wenig verstanden.

Kann mir bitte jemand für blonde Frauen erklären, was jetzt zu tun ist??? Wenn es sich vermeiden läßt: Ich würde ungern mein ganzes System neu aufspielen.

Habe mir vorhin bereits Hijackthis aufgerufen und ein Log-file erstellen lassen. Ich hänge dies mal dran.

Es wäre super, wenn mir jemand helfen würde!! Ich möchte nämlich gerne wieder E-Mails schreiben. Und was das Backdorprogramm sonst noch treibt, möchte ich lieber gar nicht so genau wissen.

VIELEN DANK!!

Anbei mein Log-File. Ich habe mich bemüht, gemäß den Vorgaben die persönlichen Daten zu löschen, soweit ich was gesehen habe.

Logfile of HijackThis v1.99.1
Scan saved at 00:58:27, on 10.03.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TSIRCSRV.EXE
c:\windows\tsi32\tsircusr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Opera\Opera.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\****\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.vobis.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://w*w.commonname.com/english/toolbar/sidebar.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w*w.commonname.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip;<local>
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\windows\tsi32\tsircusr.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {21384D29-1240-2d4f-A15C-17E42823D523} - C:\WINDOWS\System32\ipv6monl.dll (file missing)
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\System32\ipv6monj.dll (file missing)
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_48.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://w*w.vobis.de
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - h**p://w*w.pixdiscount.de/clients/uploader_v2.1.0.53.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - h**p://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Hardware Clock Driver (hwclock) - HighPoint Technologies, Inc. - (no file)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: MSDN Driver (msdndr) - Unknown owner - C:\WINDOWS\System32\msdndr.pif
O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: TSI Remote Control Service (TSIRCSRV) - LapLink, Inc. - C:\WINDOWS\System32\TSIRCSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo

dein System stammt aus der Steinzeit der IT Welt;)
es hat noch nie ein Update gesehen, was auch der Grund sein dürfte warum du nun unbedingt dieser Anleitung zum Neuaufsetzen und anschließenden absichern folgen solltest.
Es fehlen alle Sicherheitsupdates, ohne diese Updates ist es für div. Schädlinge möglich ohne dein zutun auf dein System zu gelangen und das nur, weil du mit dem I-Net verbunden bist.
Besorge dir das Servicepack 2 setze deinen Rechner neu auf und ändere nach der Neuinstallation alle deine Pass/Kennwörter.

MFG

Schönen guten Abend nochmal,

es hat etwas gedauert, aber jetzt ist mein System raus aus der Steinzeit :-))

Ich wollte mich nur noch ganz herzlich für all die ausführlichen Anleitungen bedanken, die hier im Forum zu finden sind.

Mein Rechner läuft wieder! Und ganz ohne Viren!

Vielen herzlichen Dank!