Hey ihr da draußen,
Also ich hab mir ein HDplugin.dll Virus eingefangen, dadurch kann ich die Festplatten durch daraufklicken nichtmehr löschen und AV kann nichtmehr updaten, was es sonst noch macht weiß ich nicht.

Ich hab schon meine Daten die ich benötige gesichert und dann das ganze system formatiert und neu aufgesetzt.

Virus immer noch da.

Escan,Avira usw finden auch nichts.
Das Problem sollte mit der Killbox zu lösen sein jedoch ist mein PROBLEM:
Ich weiß nicht mit welchem Prog ich ein scannen soll und anhand dessen ich ein Log kriege wo die infizierten Dateien drin sind.Wie mach ich das?

Was braucht ihr hier für ein Log um mir zu helfen?

Bitte um schnelle Hilfe.

Ps: Dieser hier hat das gleiche Problem,und diese vorgehensweise sollte auch funktionieren: http://www.trojaner-board.de/20238-h...os-werden.html


Lg simagain

zu aller erst benötigen wir ein HijackThis log und zudem wäre noch der report von antivir wichtig, danke

Ja, stimmt. Das wär halt super. Zudem, wie hast du ihn dir denn eingefangen?

Eingefangen hab ich ihn mir durch iein video das ich anschaun wollte.Da stand dann:Zum Ansehen dieses Videos müssen sie ein Live HDplugin installieren.Jetzt installieren?

Jo,das war er dann.


Hijack this Log:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:48:09, on 07.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\PROGRA~1\eScan\consctl.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\eScan\VISTA\avpmapp.exe
C:\PROGRA~1\eScan\Vista\escanmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Opera\Opera.exe
c:\programme\steam\steamapps\simagain\counter-strike source\hl2.exe
C:\Programme\Steam\GameOverlayUI.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Ask.com Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\Supertoolbar\GenericAskToolbar.dll
O3 - Toolbar: Ask.com Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\Supertoolbar\GenericAskToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DD0E93F-6149-4D14-8284-FD8D2D6DF3D5}: NameServer = 85.255.112.155,85.255.112.153
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.155,85.255.112.153
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DD0E93F-6149-4D14-8284-FD8D2D6DF3D5}: NameServer = 85.255.112.155,85.255.112.153
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.155,85.255.112.153
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DD0E93F-6149-4D14-8284-FD8D2D6DF3D5}: NameServer = 85.255.112.155,85.255.112.153
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.155,85.255.112.153
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\VISTA\avpmapp.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3980 bytes




Hier noch AVIRA Report:






Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 7. März 2009 19:01

Es wird nach 1038808 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: SIMAGAIN

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 16:57:13
ANTIVIR2.VDF : 7.1.0.89 221184 Bytes 16.11.2008 16:16:47
ANTIVIR3.VDF : 7.1.0.97 45056 Bytes 17.11.2008 16:38:59
Engineversion : 8.2.0.31
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 11.11.2008 14:00:07
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 09:41:39
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 07.11.2008 15:06:41
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 07.11.2008 15:06:41
AEHELP.DLL : 8.1.1.3 119157 Bytes 07.11.2008 15:06:41
AEGEN.DLL : 8.1.1.0 319859 Bytes 07.11.2008 15:06:41
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.4.1 172405 Bytes 07.11.2008 15:06:41
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 7. März 2009 19:01

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GameOverlayUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hl2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Steam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'escanmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCANNINGPROCESS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avpmapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CONSCTL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWAGENT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWASER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TRAYSSER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TRAYICOS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '47' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\tmp7.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.CK.56
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a22b840.qua' verschoben!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\tmp8A.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.CK.56
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a22b847.qua' verschoben!


Ende des Suchlaufs: Samstag, 7. März 2009 19:18
Benötigte Zeit: 16:45 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3136 Verzeichnisse wurden überprüft
157962 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
157959 Dateien ohne Befall
1517 Archive wurden durchsucht
1 Warnungen
2 Hinweise





hat einen TR/Patched.CK.56 gefunden ?




lg simagain

Hallo und

Benutze die Forensuche und suche nach ukraine, odessa oder DNS-Changer (oder allen drei). Alle deine Internetanfragen landen dort. Solltest du kein Onlinebanking betreiben oder keine z.B. Ebaykonten o.ä. besitzen, dann können wir eine Bereinigung durchführen.

Falls du sicher sein möchtest, dann kommt nur http://www.trojaner-board.de/51262-a...sicherung.html in Frage.

Ansonsten sollte es dir schon bedeutend besser gehen, wenn du unsere Liste durchgelesen und abgearbeitet hast: http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas

hm,was hat das mit Internetanfragen zu tun?
Danke dass du mich drauf hinweißt,neu aufgesetzt hab ich ja schon und alles formatiert.Jedoch einige Dateien gesichert und wieder drauf gemacht weil ich sie einfach brauche.

Kann mir jemand anhand den Logs helfen?Was davon muss ich mit Killbox löschen?

Wenn alles nciht funktioniert muss ich wohl alles komplett runterhaun,wär nicht gut für mich.Hab viele alte Videos und Bilder drauf usw unter den gesichterten Dateien die ich wieder draufgespielt habe, die will ich ja behalten.

Was sagen die Logs aus?


Lg simagain

Solange du Killbox für die Lösung deiner Probleme hältst, ist dir nicht zu helfen. Da du meine Hinweise offensichtlich ignorierst, weiß ich wirklich nicht, wie ich dir noch helfen soll.

Kurz vorm Aufgeben,
andreas

hallo,

1. vertraue john.doe, gehe nach dem vor, was er dir rät.
2. du hast ein Trojan.DNSchanger drauf (bitte KEIN OnlineBanking etc. mehr)
3. da du ein Trojan.DNSChanger drauf hast nützt es meist nicht nur das BS neu aufzusetzen. Gibt Fälle, da muss man sogar den Router nochmal neu einstellen.
4. folge der Reihenfolge, die dir john.doe rät komplett, von a bis z.
5. hol dir SP 3 und IE 7.
6. viel Glück und Erfolg.

okay,dann hör ich lieber auf John.
Ich hab dazu noch ein paar fragen,ich hab ein heimnetzwerk (Fritzbox + Dlan)
Kann sich der Virus darüber verbreiten?Und geht er normalerweise auch in Fotos/videos oder andere Daten?

warum ie 7?Ich bevorzuge eig. Opera.

John,ich betreibe Onlinebanking und habe eine WEb.de Email-Adresse.
Dazu noch Accounts bei vielen Foren usw.Aber seit ich das System komplett neu aufgesetzt habe habe ich mich dort nichtmehr eingeloggt also sollten davon doch jegliche Datenw eg sein oder?Passwort und Benutzername?

Was rätst du mir jetzt des Weiteren?
Was wäre die sicherste Methode ihn zu beseitigen?Womit bin ich auf der sicheren Seite?Die ANleitung zum Neuaufsetzen?

Wusste nicht dass der Virus so schlimm sein kann...

Lg simagain

hallo,

warst du während der Zeit, wo du das Problem entdeckt hast, in deinem Onlinebanking Konto? wenn dem so sei lass es lieber sperren.(oder schau zumindest von der EC Karte auf nem Geldautomaten nach, ob alles okay ist).....oder schau von einem sauberen PC deine Transfers an, ob alles dementsprechend gemacht wurde, wie du es dir vorgestellt hattes.
Denn wer weiß, was die schon alles haben an deinen Daten.

und ja ein Virus (Trojaner, Malware, etc.) kann sich übers Netzwerk verbreiten.

Rest erklärt John.Doe, und brav zuhören, bitte

okay,Danke.Hoffe er erklärt mir das nochmal alles.Nein,während ich ihn "eingefangen" habe war ich nicht in meinem Konto drin, danach auch nichtmehr.Kann ich internet denn anlassen?

Lg simagain

Hallöle ^^

Wie gesagt, der Rest erklärt John.Doe und ja, wenn du nur den PC hast zum Hierreinkommen, dann lass Inet an, brauchste im Laufe der Bereinigung denke ich eh nochmal.
Grüße und viel Erfolg.

Hab mir grad den ganzen Artikel von der Bereinigung und Neuaufsetzung angeschaut,ich habe selber alles schon so gemacht wie es dort steht. Also von Cd booten, komplett formatieren.Alles...
Kann mir nicht erklären warum der Virus noch da ist.

Lg simagain

Zitat:

Kann ich internet denn anlassen?

Falls dir kein anderer Rechner zur Verfügung steht, dann bleibt dir keine andere Wahl. Sei dir aber bewusst, dass alle deine Interneteingaben mitgelesen bzw. verändert werden können.

Zitat:

Kann sich der Virus darüber verbreiten?

Grundsätzlich ja. Falls du sichere Kennwörter benutzt, dann ist es unwahrscheinlich.

Zitat:

Und geht er normalerweise auch in Fotos/videos oder andere Daten?

Auch das ist möglich, wenn auch unwahrscheinlich.

Zitat:

Passwort und Benutzername?

Benutzernamen zu wechseln ist nicht notwendig. Kennwörter schon und zwar alle. Entweder von einem sauberen Rechner aus und im Anschluss, wenn der Rechner wieder sauber ist.

Zitat:

Was rätst du mir jetzt des Weiteren?

Die Liste abzuarbeiten, so wie es hier alle (naja, die meisten) machen. Wenn du die fehlenden drei Logs gepostet hast, dann melde ich mich wieder.

Zitat:

Wusste nicht dass der Virus so schlimm sein kann...

Ja, den Irrtum begehen viele.

ciao, andreas

Dannw erde ich das gleich machen.Kann ich trotzdem die nötigsten Sachen sowie bilder usw auf einer externen Platte sichern oder rätst du mir davon ab?

Kann ich irgendwie seriös abchecken ob die Daten die ich sichern will sauber sind?

Danke für deine Antworten