|
Plagegeister aller Art und deren Bekämpfung: HDplugin.dll wieder los werden!!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.07.2005, 10:44 | #1 |
| HDplugin1019.dll wieder los werden!!! Hallo Ihr, ich habe mir irgendwie den HDPlugin eingefangen, er will aber auch durch meinen Norton AV nicht gelöscht werden. Und das selbst wenn ich es im Abgesicherten Modus versuche.?!?! Kann irgend jemand helfen? Geändert von Christian Lampe (27.07.2005 um 10:51 Uhr) |
27.07.2005, 10:54 | #2 |
| HDplugin.dll wieder los werden!!! Ich habe gesehen das erst al alle ihren PC mit HJT veröffentlich haben also das gleiche hier auch.
__________________Logfile of HijackThis v1.99.1 Scan saved at 11:09:38, on 27.07.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\SYSTEM32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\WINNT\System32\3Com_DMI\3CDMINIC.EXE C:\Programme\Dell\OpenManage\Client\ActionAgent.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\DMI\WIN32\bin\DellDmi.exe C:\Programme\Dell\OpenManage\Client\EventAgt.exe C:\Programme\Dell\OpenManage\Client\DLT.exe C:\WINNT\System32\svchost.exe C:\Programme\Dell\OpenManage\Client\Iap.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINNT\system32\MSTask.exe C:\dmi\win32\bin\Win32sl.exe C:\Programme\UltraVNC\WinVNC.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\Explorer.EXE C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\WINNT\system32\SxgTkBar.exe C:\WINNT\System32\spool\DRIVERS\W32X86\3\printray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINNT\system32\ctfmon.exe C:\Programme\PrintKey2000\Printkey2000.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Test\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games11.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{89D9A864-3953-41DE-A6B6-8380A1CBE7C5}: NameServer = 62.72.64.237,62.72.64.241 O17 - HKLM\System\CS1\Services\Tcpip\..\{89D9A864-3953-41DE-A6B6-8380A1CBE7C5}: NameServer = 62.72.64.237,62.72.64.241 O17 - HKLM\System\CS2\Services\Tcpip\..\{89D9A864-3953-41DE-A6B6-8380A1CBE7C5}: NameServer = 62.72.64.237,62.72.64.241 O18 - Filter: text/html - {CDBCC938-86E3-4A4E-A3AA-AA9AEE65D52F} - C:\Dokumente und Einstellungen\test1\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.32.dat O23 - Service: 3Com DMI Agent (3ComDMIService) - 3Com Corporation - C:\WINNT\System32\3Com_DMI\3CDMINIC.EXE O23 - Service: ActionAgent - Dell Computer Corporation - C:\Programme\Dell\OpenManage\Client\ActionAgent.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: DellDmi - Dell Computer Corporation - C:\DMI\WIN32\bin\DellDmi.exe O23 - Service: DEventAgent - Dell Computer Corporation - C:\Programme\Dell\OpenManage\Client\EventAgt.exe O23 - Service: DLT - Dell Computer Corporation - C:\Programme\Dell\OpenManage\Client\DLT.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Iap - Dell Computer Corporation - C:\Programme\Dell\OpenManage\Client\Iap.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: Win32Sl - Intel - C:\dmi\win32\bin\Win32sl.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing) Geändert von Christian Lampe (27.07.2005 um 12:01 Uhr) |
27.07.2005, 14:23 | #3 |
| HDplugin.dll wieder los werden!!! Was macht dieses Ding denn überhaupt?
__________________Und kann mir irgend jemand bei der Endfernung helfen? BITTE BITTE Christian |
27.07.2005, 14:56 | #4 |
| HDplugin.dll wieder los werden!!! Hallo Christian Lampe, downloade Dir clearprog, nimm eine Datenträgerbereinigung vor (Häckchen bei “alles Löschen” und auf “löschen” klicken) und leere den Quarantäne-Ordner Deines Antivir-Programms. Desweiteren führe Escan aus und befolge genau an die Anleitung (bitte erst aufmerksam lesen dann scannen). dartus
__________________ Kein Support per PN |
27.07.2005, 17:00 | #5 |
| HDplugin.dll wieder los werden!!! Wie bekomme ich denn eigentlich die *.rar Datei entpackt? Und Wie bekomme ich den Quarantäne-Ordner leer?? Ich bin ja gerade in Ohnmacht gefallen was escan alles gefunden hat. Christian |
27.07.2005, 17:04 | #6 |
| HDplugin.dll wieder los werden!!! OK doch nicht so blöd winrar habe ich und mache gerade weiter. |
27.07.2005, 17:19 | #7 |
| HDplugin.dll wieder los werden!!! So dieses ist der Anfang: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Wed Jul 27 16:38:54 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Wed Jul 27 16:39:44 2005 => System found infected with Gator Spyware/Adware (HDPlugin1019.dll)! Action taken: No Action Taken. Wed Jul 27 17:03:22 2005 => File C:\Dokumente und Einstellungen\TEST1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.15.dat infected by "Trojan.Win32.Dialui" Virus! Action Taken: No Action Taken. Wed Jul 27 17:14:05 2005 => File C:\Programme\Norton AntiVirus\Quarantine\12832E5A infected by "Email-Worm.Win32.NetSky.q" Virus! Action Taken: No Action Taken. Wed Jul 27 17:14:06 2005 => File C:\Programme\Norton AntiVirus\Quarantine\72F21329 infected by "Email-Worm.Win32.Sober.i" Virus! Action Taken: No Action Taken. Wed Jul 27 17:14:06 2005 => File C:\Programme\Norton AntiVirus\Quarantine\76DE6522 infected by "Email-Worm.Win32.Sober.i" Virus! Action Taken: No Action Taken. und dieses das Ende: AntiVirus\Quarantine\03326588 infected by "Email-Worm.Win32.NetSky.q" Virus! Action Taken: No Action Taken. Wed Jul 27 17:40:33 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Wed Jul 27 16:55:57 2005 => File C:\WINNT\Downloaded Program Files\HDPlugin1019.dll tagged as "not-a-virus:AdWare.Gator.1019". Action Taken: No Action Taken. Wed Jul 27 16:55:57 2005 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll tagged as "not-a-virus:AdWare.Gator.1019". Action Taken: No Action Taken. Wed Jul 27 16:55:57 2005 => File C:\WINNT\Downloaded Program Files\CONFLICT.2\HDPlugin1019.dll tagged as "not-a-virus:AdWare.Gator.1019". Action Taken: No Action Taken. Wed Jul 27 16:55:57 2005 => File C:\WINNT\Downloaded Program Files\CONFLICT.3\HDPlugin1019.dll tagged as "not-a-virus:AdWare.Gator.1019". Action Taken: No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Wed Jul 27 17:40:33 2005 => Total Virus(es) Found: 389 Wed Jul 27 17:40:33 2005 => Total Errors: 12 Wed Jul 27 17:40:33 2005 => Time Elapsed: 01:02:36 Wed Jul 27 17:40:33 2005 => Total Objects Scanned: 51464 Wed Jul 27 16:14:10 2005 => Virus Database Date: 2005/07/25 Wed Jul 27 16:33:45 2005 => Virus Database Date: 2005/07/25 Wed Jul 27 17:40:33 2005 => Virus Database Date: 2005/07/25 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Also nun was ist damit zu tun, denn das meiste ist aus dem Quarantäne-Ordner, aber darüber hat sich ja auch mein Vieren scenner nicht beschwert. bleibt noch der HDPlugin1019.dll oder habe ich noch was übersehen?????? Ich habe leider auch nicht genug Ahnung um abzusehen was sich dahinter überhaubt verbirgt. Christian |
27.07.2005, 17:58 | #8 | ||
| HDplugin.dll wieder los werden!!! @ Christian Lampe Lade Dir Spybot-S&D und Ad-Aware und update beide Programme. Lade die Killbox lösche aus deinem eMailprogramm alle dir nichbekannten eMails, leere dann den Papierkorb im Mailprogramm und stelle auf Ordner komprimieren --> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und lösche folgende Dateien mit Hilf der Killbox,Klicke bei der Killbox auf Delete on Reboot, danach Dateien nacheinander rein laden und auf das rote Kreuz drücken. Wenn du gefragt wirst „ Do you want to reboot?“ auf no, erst bei der letzten Datei auf yes drücken. C:\Dokumente und Einstellungen\TEST1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.15.dat C:\WINNT\Downloaded Program Files\HDPlugin1019.dll C:\WINNT\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll C:\WINNT\Downloaded Program Files\CONFLICT.2\HDPlugin1019.dll C:\WINNT\Downloaded Program Files\CONFLICT.3\HDPlugin1019.dll scanne jetzt nacheinander mit Spybot und Ad-aware und lösche alle Funde Zitat:
leere den Quarantäneordner von deinem AV-Programm leere den Papierkorb neu booten, Problem gelöst? BTW: Zitat:
Geändert von Gigamail (27.07.2005 um 18:05 Uhr) |
28.07.2005, 08:40 | #9 |
| HDplugin.dll wieder los werden!!! Der Rest befindet sich alles im Quarantäne-Ordner. Vielen Dank für die Hilfe!!!!!!!!!! Christian Lampe |
Themen zu HDplugin.dll wieder los werden!!! |
.dll, abgesicherte, abgesicherten, abgesicherten modus, eingefangen, gefangen, gelöscht, helfen, modus, norton |