Hallo, ich brauche dringend Hilfe!

ich hab mir einen echt hartnäckigen Viraus eingefangen.
Er verhindert anscheinend (u.a.), dass die Antispyprogramme angezeigt werden.
Immer wenn ein solches Programm angezeigt werden soll wird das Programm beendet oder geschlossen.
Also Spybot funktionierte erst nachdem ich ihn vorher umbenannt hatte und hat auch erst was gefunden. Jetzt ist das System aber laut Spbybot sauber.
Hijackthis lies sich trotz umbennens nicht ausführen, deswegen kann ich auch keine Log File erstellen.
Escan, adaware und antivir hab ich da auch nochmal drübergeschickt. Antivir findet nach jedem Neustart die Datei hxdefdrv.sys mit dem Backdoorprogramm BDS/Hacdef. Die Datei regeneriert sich selbstständig wieder, trotz deaktivierter Systemwiederherstellung.

Hat jemand eine gute Idee?

Vielen Dank!

Hallo erwin007,

zu diesem Backdoor-Trojaner gibt es folgende Information: Troj/HacDef-F. Versuch's mal mit einem Online-Scan: eine Auswahl kostenloser Online-Scan -Programme.

TrojanCheck ist eine wirkungsvolle Hilfe, um das Eindringen solcher Trojaner zu verhindern. Jede Veränderung in der Registry wird angezeigt, wenn man den Wächter laufen läßt. Auf diese Weise kann man selbst bestimmen, welche Registry-Einträge man erlaubt und welche nicht. Somit ist man wirkungsvoll informiert, wenn Prozesse gestartet bzw. beendet werden.

SD

Zitat:

Zitat von erwin007

Hallo, ich brauche dringend Hilfe!

ich hab mir einen echt hartnäckigen Viraus eingefangen.
Er verhindert anscheinend (u.a.), dass die Antispyprogramme angezeigt werden.
Immer wenn ein solches Programm angezeigt werden soll wird das Programm beendet oder geschlossen.
Also Spybot funktionierte erst nachdem ich ihn vorher umbenannt hatte und hat auch erst was gefunden. Jetzt ist das System aber laut Spbybot sauber.
[...]
Hat jemand eine gute Idee?

Vielen Dank!

Koenntest Du deinen Rechner mit Spybot nochmal scannen und uns dann dein Spybot Report mal an detections[AT]spybot.info schicken.



Gruss
Michael

Klasse dass Ihr mir helft!

Alles klar mit wildem umbennen hab ich jetzt HijackThis starten können und ein Logfile speichern können(unter dem vorgeschlagenen Namem Hijackthis.log war es nämlich nicht möglich (war die datei wieder nicht verfügbar(versteckt?))

Aber hier das Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 23:07:25, on 15.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SCARDS32.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\virenscanner\2HiijacckThhis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von osnatel
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.osnatel.de
O16 - DPF: {10000000-0000-0000-0000-000000000000} - http://213.159.118.226/x/x.exe
O16 - DPF: {358DF899-C98C-4A31-AABA-E110A0E6BF1D} (Acw Control) - https://img.web.de/v/comwin/activex/acw_1034.cab

@ erwin007,

- hast Du einen Online-Scan (Online-Scan-Auswahl) vorgenommen? Ergebnis?
- versuche eScan zu downloaden, entsprechend der Anweisung. Nicht vergessen online updaten, offline, im abgesicherten Modus scannen. Die Malware muss von Hand gelöscht werden.

Viel Erfolg.
SD

Also ich hab dann mal einen Scanner von Symantec laufen lassen und de hat auch welche bisher unbekannte gefunden.

C:\Recycled\Dc522.tmp is infected with Trojan.Adclicker
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6Q6511KU\index[1].htm.mwt is infected with Bloodhound.Exploit.6
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PCLLV5LR\x[1].exe.mwt is infected with Backdoor.HackDefender
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A7471A3U\index[3].htm.mwt is infected with Bloodhound.Exploit.6
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A7471A3U\r[1].exe%00r.exe is infected with Trojan.Adclicker
Und den bekannten hxdefdrv.sys der bei dem Zugriff von Antivir erkannt und gelöscht wurde.

Nrr1 kann ich nicht finden
Nr.2-5 wird der ordner nicht angezeigt!?

Bin ja etwas vorsichtig bei online scannern, da mein sytem ja im Moment infiziert ist und ich denke, dass es beim online gehen eher noch mehr wird mit dem Befall.

escan hab ich auch noch mal im abgesicherten Modus laufen lassen hatte die Version erst vor 3 Tagen runtergeladen Ver. 4.4.7
die Datei hxdefdrv.sys taucht ja immer wieder auf.

hier die escan log Informationen:
File C:\WINDOWS\hxdefdrv.sys infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\GL_3.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\CD\Hanna\sheep.zip tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\CD\Hanna\Stundenplan\STD_2.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\CD\Progr\ACDSEE.20\ACDC3220.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\CD\Progr\Pool\ACDSee Win95 2.3.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\CD\Progr\Paint Shop Pro 4.14\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\CD\Progr\Paint Shop Pro 4.14\UPDATE\PSP414U.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programme\Video\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

@ erwin007

Zitat:

die Datei hxdefdrv.sys taucht ja immer wieder auf.

File C:\WINDOWS\hxdefdrv.sys infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.

Sophos Virenlexikon: -->Erläuterung zu Backdoor.HacDef.

"Neben unbefugten Fernzugriff auf den Computer des Opfers kann dieser Trojaner auch Informationen über das befallene System verbergen, u.a. Dateien, Ordner, Prozesse, Dienste und Registrierungseinträge."

Die C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ kannst Du leeren, manuell oder mit dem Clear Prog - Ordner kannst Du anzeigen lassen: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren

Aber das nützt Dir alles nichts. Dein System ist kompromittiert. Wenn Du eine sichere Lösung möchtest, musst Du Dein System formatieren+neuaufsetzen

Zitat:

Zitat von Cidre

[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

SD

Hallo, tja ich bin den Dreck immer noch nicht los, hab aber jetzt eine Anleitung gefunden, wie man den Anscheinend herstellt. Kann man da nicht im Gegenschluss die Abwehrmaßnahmen draus ableiten?

Was ich brauche ist ein Tool, dass mir die wirklichen Dateien anzeigt so wie der Explorer früher war und auch die wirklich vorhandenen Registry Einträge.
Hat jemand sowas?

@ erwin007

Zitat:

Zitat von erwin007

Hallo, tja ich bin den Dreck immer noch nicht los, hab aber jetzt eine Anleitung gefunden, wie man den Anscheinend herstellt. Kann man da nicht im Gegenschluss die Abwehrmaßnahmen draus ableiten?

Die Abwehrmaßnahmen gibt es bereits. Und für Anleitungen wie Viren dieser Art hergestellt werden, bist Du bei uns am falschen Platz. Wir tun unser Bestes, um die Rechner der Leute, die von diesen Viren befallen werden, davon zu befreien. Ab und an, leider sehr oft, bleibt uns nur noch die Möglichkeit, die User zu bitten, ihre Systeme zu formatieren und neu aufzusetzen. Die Rechner sind nicht mehr sicher. Auch dann nicht, wenn die Viren, insbes. Backdoor-Trojaner gelöscht worden sind.

Zitat:

Zitat von erwin007

Was ich brauche ist ein Tool, dass mir die wirklichen Dateien anzeigt so wie der Explorer früher war und auch die wirklich vorhandenen Registry Einträge.

Wir können Dir erklären, wie Du die Eintrge löschen kannst, aber das ist keine sichere Lösung. Vergleiche hierzu: die sauberste Lösung.

SD

@ shadowdance

Vielen Dank für Deine Bemühungen, da waren wertvolle Tipps für mich dabei!

Ich habs jetzt geschafft und bin den hartnäckigen hxdef sammt Hackdefender los (ohne Formatieren).

So etwas hartnäckiges ist mir noch nicht untergekommen!

Werde jetzt auf Mozilla umsteigen.

Vielen Dank

erwin007

@ erwin007

Du weisst aber schon, dass Dein System nicht mehr sicher ist und als eine Art Virenschleuder im Netz hängt? Du gefährdest mit diesem System nicht nur Dich sondern das ganze Netz. Findest Du das nicht verantwortungslos?

"Neben unbefugten Fernzugriff auf den Computer des Opfers kann dieser Trojaner auch Informationen über das befallene System verbergen, u.a. Dateien, Ordner, Prozesse, Dienste und Registrierungseinträge."

SD

Zitat:

Zitat von erwin007

@ shadowdance

[...]
Ich habs jetzt geschafft und bin den hartnäckigen hxdef sammt Hackdefender los (ohne Formatieren).

[...]

Vielen Dank

erwin007

Du konntest nicht zufaellig, die Datein retten?

Gruss
Michael

@warhawk

Komisch stehe jetzt hier irgendwie zwischen den Stühlen, der eine sagt ich sei verantwortungslos und der andere möchte daraus nutzen ziehen.

Bin mir da ja nicht so ganz sicher...

Ich habe nur noch eine Datei die winunins.

Das ganze bestand aus 3 oder 4 dateien.

Kann Dir aber genau sagen, wo ich mir die eingefangen habe, kannst Dich dann ja infizieren lassen/ aber das ist ne Heidenarbeit die wegzukriegen
Was möchtest Du denn damit?

Und da, aber nur da, gebe ich shadowdance recht, das wäre verantwortungslos das hier direkt zu posten.

@ Shadowdance

Habe das Gefühl, Du möchtest mich wirklich anpissen. Ich hab mich nett für Deine Hilfe bedankt (wobei die Hilfe nicht genau das war was ich eigentlich wollte) und jetzt werde ich hier ohne konkretere Hintergründe als verantwortunglos bezeichnet. Das ist nicht die feine Art, besonders weil Du Dich nicht ein deut danach erkundigt hast, was genau ich alles unternommen habe.
Klar, das ist einfach dann zu behaupten jeder PC sei eine Drecksschleuder.
Darüber hinaus glaube ich nicht, dass ich mich von Dir massregeln lassen muss.

Es scheint mir als würdest Du denn Hass, denn Du auf die Produzenten dieser Viren hast in mich hineinprojezieren. Aber glaub mir ich würd die viel lieber erwischen als Du,
die haben mir mein Wochenende versaut!

Aber trotz alle dem Danke ich Dir für Deine Bemühungen!


Gruß

erwin007

@ erwin007

Zitat:
@ Shadowdance

Habe das Gefühl, Du möchtest mich wirklich anpissen. Ich hab mich nett für Deine Hilfe bedankt (wobei die Hilfe nicht genau das war was ich eigentlich wollte) und jetzt werde ich hier ohne konkretere Hintergründe als verantwortunglos bezeichnet. Das ist nicht die feine Art, besonders weil Du Dich nicht ein deut danach erkundigt hast, was genau ich alles unternommen habe.
Klar, das ist einfach dann zu behaupten jeder PC sei eine Drecksschleuder.
Darüber hinaus glaube ich nicht, dass ich mich von Dir massregeln lassen muss.

Du solltest mal Deinen Ton ein bißchen runterschrauben. SD hat recht mit dem was Sie sagt. Außerdem geht es nicht um "maßregeln" sondern darum, Dir zu helfen, worum Du ja schließlich selbst gebeten hast. Und so schlau wie Du ja bist, schaffst Du das sicher alleine ohne "anpissen" und "maßregeln", Deine Virenschleuder - nicht "Dreckschleuder" - wieder hinzukriegen, oder?

Hallo rwin007,

ich hab keinen Hass, auch nicht auf die Produzenten von Malware, auch wenn ich sie nicht begreife. Hass nicht, Wut allenfalls, ab und an. Sie machen so viel kaputt und das völlig sinnlos. Wozu braucht man sowas.

Die Familie dieser Backdoor-Trojaner verändern Registry-Einträge und graben sich in irgendeiner Weise ins System ein, die für Laaien vermutlich nicht nachvollziehbar ist. Folglich weiss ich nicht, was Du getan hast, um diesen Backdoor weg zu bekommen.

Ich kann Dir nur raten, das System platt zu machen. Die meisten von uns empfehlen das. In Deinem Interesse und im Interesse der Allgemeinheit. Ans Bein pissen? Nein, warum? Ich kenne Dich ja nichtmal. Was Du tust, ist Deine Sache. Es ist ja auch Dein Computer. Du entscheidest. Für mich ist das ok so.

Lieben Gruss
SD