Trojaner-Board - BDS/HacDef.073.b.1 --> ich bekomm ihn nicht weg

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - BDS/HacDef.073.b.1 --> ich bekomm ihn nicht weg (https://www.trojaner-board.de/9324-bds-hacdef-073-b-1-bekomm-ihn-weg.html)

BDS/HacDef.073.b.1 --> ich bekomm ihn nicht weg

ich hab das problem : den "BDS/HacDef.073.b.1".... zumindest sagt das mein Virenscanner [AntiVirxp]....

nun hab ich da das ein oder andere problem:

1. ich habe keinen plan von solchen sachen

2. spybot s&d ist verschwunden und lässt sich auch nicht downloaden [ebenso wie alle anderen programme die dem ding etwas anhaben könnten (z.B. hijackthis)]

3. meine startseite beim IE lässt sich nicht mehr ändern und ist für irgendeine komische werbeseite festgelegt.... auch bei meinen favoriten sind welche dazugekommen, die sich immer wieder regenerieren

4. ich bekomm das ding nicht runter... hab überall recherchiert aber sowas wie hijackthis kappier ich nich ganz...

5. ich kann nicht formatieren ! ich hab xp drauf... wenn ich die cd einlege zeigt mein laufwerk die nicht an... dementsprechend kann ich auch nciht von ihr booten... wie soll ich denn jetzt das bs plattmachen ??

6. ich hab n paar sicherungen auf cd gemacht... wenn davon welche infiziert sind mit dem ding... kann der sich dann wieder ausbreiten, wenn ich die später wieder auf die sachen platte packe ?

7. ich habe 2 partitionen : eine für das BS und den rest für schulsachen musik spiele und so.... sind automatisch beide infiziert ??

bitte helft mir, ich bin total überfordert !

:headbang: :headbang: :headbang: :headbang: :headbang: :headbang: :headbang:

Hallo, fllip,
ich vermute, Du hast mehrere Probleme, dein bislang größtes ist das hier.
Du mußt ein HJT Logfile erstellen. Wenn Dein Browser das nicht mehr zuläßt, solltest du auf diese Seite gehen und den Firefox browser runterladen und installieren. Dann über firefox HJT runterladen, ein Logfile erstellen und reinposten.

:nixda: es klappt auch nicht.... der download startet, wie alle anderen auch, dann wird er auch beendet.... aber die datei ist nach dem download verschwunden....

Hi, flip,
es tut mir leid, aber bei dem ws Du drauf hast, und vor allem bei den Veränderungen in Deinem System schlage ich nur noch eines vor:
Da wahrscheinlich Dein System bereits kompromittiert ist, hilft nur ein sauberes (dank Cidre) neuaufsetzen des Systems.
Halte dich bitte genau an alle Anweisungen!
cacatoa

habe es geschafft highjackthis runterzuladen... hier mein logflie

Code:

Logfile of HijackThis v1.98.2

Scan saved at 06:08:58, on 09.11.2004

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\ICQLite\ICQLite.exe

C:\WINDOWS\Twain_32\SlimU2\HotKey.exe

C:\WINDOWS\System32\rundll32.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\Programme\D-Tools\daemon.exe

C:\Programme\Microsoft Office\Office\OSA.EXE

C:\Programme\Microsoft Office\Office\FINDFAST.EXE

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\PROGRA~1\FLASHGET\flashget.exe

C:\Programme\WinRAR\WinRAR.exe
 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir...er=6.0&ar=home

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033

O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE

O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm

O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FLASHGET\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FLASHGET\jc_link.htm

O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm

O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O12 - Plugin for .qt: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

was kann man dazu sagen ??

Logfile of HijackThis v1.98.2
Scan saved at 06:08:58, on 09.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein System ist total ungepatched, hole das dringend nach www.windowsupdate.com (ALLE wichtigen updates herunterladen)

danach:

Zitat:

Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

Dein Log sieht nämlich auf den ersten blick sauber aus, bis auf die fehlenden patches...(falls meine müden augen zur frühen stunde nix übersehen)

Lass aber erstmal escan laufen und dann sehen wir weiter

@flip

hier ein paar infos
http://www.pestpatrol.com/pestinfo/b...oor_hacdef.asp
http://www.pro-support.de/ps1.pl?noframes;read=1804
http://www.pro-support.de/ps1.pl?noframes;read=1804
poste nach den escan ein HJT logfile + nur die ergebnisse von escan.
das logfile mit cpoy and paste hier im board posten

chaosman