HDplugin Virus,wie beseitigen?
 

Hey ihr da draußen,
Also ich hab mir ein HDplugin.dll Virus eingefangen, dadurch kann ich die Festplatten durch daraufklicken nichtmehr löschen und AV kann nichtmehr updaten, was es sonst noch macht weiß ich nicht.

Ich hab schon meine Daten die ich benötige gesichert und dann das ganze system formatiert und neu aufgesetzt.

Virus immer noch da.

Escan,Avira usw finden auch nichts.
Das Problem sollte mit der Killbox zu lösen sein jedoch ist mein PROBLEM:
Ich weiß nicht mit welchem Prog ich ein scannen soll und anhand dessen ich ein Log kriege wo die infizierten Dateien drin sind.Wie mach ich das?

Was braucht ihr hier für ein Log um mir zu helfen?

Bitte um schnelle Hilfe.

Ps: Dieser hier hat das gleiche Problem,und diese vorgehensweise sollte auch funktionieren: http://www.trojaner-board.de/20238-h...os-werden.html


Lg simagain

zu aller erst benötigen wir ein HiJackThis log und zudem wäre noch der report von antivir wichtig, danke :)

Ja, stimmt. Das wär halt super. Zudem, wie hast du ihn dir denn eingefangen?

Eingefangen hab ich ihn mir durch iein video das ich anschaun wollte.Da stand dann:Zum Ansehen dieses Videos müssen sie ein Live HDplugin installieren.Jetzt installieren?

Jo,das war er dann.


Hijack this Log:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:48:09, on 07.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\PROGRA~1\eScan\consctl.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\eScan\VISTA\avpmapp.exe
C:\PROGRA~1\eScan\Vista\escanmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Opera\Opera.exe
c:\programme\steam\steamapps\simagain\counter-strike source\hl2.exe
C:\Programme\Steam\GameOverlayUI.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Ask.com Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\Supertoolbar\GenericAskToolbar.dll
O3 - Toolbar: Ask.com Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\Supertoolbar\GenericAskToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DD0E93F-6149-4D14-8284-FD8D2D6DF3D5}: NameServer = 85.255.112.155,85.255.112.153
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.155,85.255.112.153
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DD0E93F-6149-4D14-8284-FD8D2D6DF3D5}: NameServer = 85.255.112.155,85.255.112.153
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.155,85.255.112.153
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DD0E93F-6149-4D14-8284-FD8D2D6DF3D5}: NameServer = 85.255.112.155,85.255.112.153
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.155,85.255.112.153
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\VISTA\avpmapp.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3980 bytes




Hier noch AVIRA Report:






Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 7. März 2009 19:01

Es wird nach 1038808 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: SIMAGAIN

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 16:57:13
ANTIVIR2.VDF : 7.1.0.89 221184 Bytes 16.11.2008 16:16:47
ANTIVIR3.VDF : 7.1.0.97 45056 Bytes 17.11.2008 16:38:59
Engineversion : 8.2.0.31
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 11.11.2008 14:00:07
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 09:41:39
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 07.11.2008 15:06:41
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 07.11.2008 15:06:41
AEHELP.DLL : 8.1.1.3 119157 Bytes 07.11.2008 15:06:41
AEGEN.DLL : 8.1.1.0 319859 Bytes 07.11.2008 15:06:41
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.4.1 172405 Bytes 07.11.2008 15:06:41
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 7. März 2009 19:01

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GameOverlayUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hl2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Steam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'escanmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCANNINGPROCESS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avpmapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CONSCTL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWAGENT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWASER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TRAYSSER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TRAYICOS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '47' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\tmp7.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.CK.56
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a22b840.qua' verschoben!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\tmp8A.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.CK.56
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a22b847.qua' verschoben!


Ende des Suchlaufs: Samstag, 7. März 2009 19:18
Benötigte Zeit: 16:45 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3136 Verzeichnisse wurden überprüft
157962 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
157959 Dateien ohne Befall
1517 Archive wurden durchsucht
1 Warnungen
2 Hinweise





hat einen TR/Patched.CK.56 gefunden ?




lg simagain

Hallo und :hallo:

Benutze die Forensuche und suche nach ukraine, odessa oder DNS-Changer (oder allen drei). Alle deine Internetanfragen landen dort. Solltest du kein Onlinebanking betreiben oder keine z.B. Ebaykonten o.ä. besitzen, dann können wir eine Bereinigung durchführen.

Falls du sicher sein möchtest, dann kommt nur http://www.trojaner-board.de/51262-a...sicherung.html in Frage.

Ansonsten sollte es dir schon bedeutend besser gehen, wenn du unsere Liste durchgelesen und abgearbeitet hast: http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas

hm,was hat das mit Internetanfragen zu tun?
Danke dass du mich drauf hinweißt,neu aufgesetzt hab ich ja schon und alles formatiert.Jedoch einige Dateien gesichert und wieder drauf gemacht weil ich sie einfach brauche.

Kann mir jemand anhand den Logs helfen?Was davon muss ich mit Killbox löschen?

Wenn alles nciht funktioniert muss ich wohl alles komplett runterhaun,wär nicht gut für mich.Hab viele alte Videos und Bilder drauf usw unter den gesichterten Dateien die ich wieder draufgespielt habe, die will ich ja behalten.

Was sagen die Logs aus?


Lg simagain

Solange du Killbox für die Lösung deiner Probleme hältst, ist dir nicht zu helfen. Da du meine Hinweise offensichtlich ignorierst, weiß ich wirklich nicht, wie ich dir noch helfen soll.

Kurz vorm Aufgeben,
andreas

hallo,

1. vertraue john.doe, gehe nach dem vor, was er dir rät.
2. du hast ein Trojan.DNSchanger drauf (bitte KEIN OnlineBanking etc. mehr)
3. da du ein Trojan.DNSChanger drauf hast nützt es meist nicht nur das BS neu aufzusetzen. Gibt Fälle, da muss man sogar den Router nochmal neu einstellen.
4. folge der Reihenfolge, die dir john.doe rät komplett, von a bis z.
5. hol dir SP 3 und IE 7.
6. viel Glück und Erfolg.

okay,dann hör ich lieber auf John.
Ich hab dazu noch ein paar fragen,ich hab ein heimnetzwerk (Fritzbox + Dlan)
Kann sich der Virus darüber verbreiten?Und geht er normalerweise auch in Fotos/videos oder andere Daten?

warum ie 7?Ich bevorzuge eig. Opera.

John,ich betreibe Onlinebanking und habe eine WEb.de Email-Adresse.
Dazu noch Accounts bei vielen Foren usw.Aber seit ich das System komplett neu aufgesetzt habe habe ich mich dort nichtmehr eingeloggt also sollten davon doch jegliche Datenw eg sein oder?Passwort und Benutzername?

Was rätst du mir jetzt des Weiteren?
Was wäre die sicherste Methode ihn zu beseitigen?Womit bin ich auf der sicheren Seite?Die ANleitung zum Neuaufsetzen?

Wusste nicht dass der Virus so schlimm sein kann...

Lg simagain

hallo,

warst du während der Zeit, wo du das Problem entdeckt hast, in deinem Onlinebanking Konto? wenn dem so sei lass es lieber sperren.(oder schau zumindest von der EC Karte auf nem Geldautomaten nach, ob alles okay ist).....oder schau von einem sauberen PC deine Transfers an, ob alles dementsprechend gemacht wurde, wie du es dir vorgestellt hattes.
Denn wer weiß, was die schon alles haben an deinen Daten.

und ja ein Virus (Trojaner, Malware, etc.) kann sich übers Netzwerk verbreiten.

Rest erklärt John.Doe, und brav zuhören, bitte :)

okay,Danke.Hoffe er erklärt mir das nochmal alles.Nein,während ich ihn "eingefangen" habe war ich nicht in meinem Konto drin, danach auch nichtmehr.Kann ich internet denn anlassen?

Lg simagain

Hallöle ^^

Wie gesagt, der Rest erklärt John.Doe und ja, wenn du nur den PC hast zum Hierreinkommen, dann lass Inet an, brauchste im Laufe der Bereinigung denke ich eh nochmal.
Grüße und viel Erfolg.

Hab mir grad den ganzen Artikel von der Bereinigung und Neuaufsetzung angeschaut,ich habe selber alles schon so gemacht wie es dort steht. Also von Cd booten, komplett formatieren.Alles...
Kann mir nicht erklären warum der Virus noch da ist.

Lg simagain

Falls dir kein anderer Rechner zur Verfügung steht, dann bleibt dir keine andere Wahl. Sei dir aber bewusst, dass alle deine Interneteingaben mitgelesen bzw. verändert werden können.
Grundsätzlich ja. Falls du sichere Kennwörter benutzt, dann ist es unwahrscheinlich.
Auch das ist möglich, wenn auch unwahrscheinlich.
Benutzernamen zu wechseln ist nicht notwendig. Kennwörter schon und zwar alle. Entweder von einem sauberen Rechner aus und im Anschluss, wenn der Rechner wieder sauber ist.
Die Liste abzuarbeiten, so wie es hier alle (naja, die meisten) machen. Wenn du die fehlenden drei Logs gepostet hast, dann melde ich mich wieder.
Ja, den Irrtum begehen viele.

ciao, andreas

Dannw erde ich das gleich machen.Kann ich trotzdem die nötigsten Sachen sowie bilder usw auf einer externen Platte sichern oder rätst du mir davon ab?

Kann ich irgendwie seriös abchecken ob die Daten die ich sichern will sauber sind?

Danke für deine Antworten

Diese Dateien kannst du im Anschluss von einem Antivirprogramm auswerten lassen.

Und nun zu dem was dir John.Doe ans Herz legt.
Auf in den Kampf :)

Alle nicht ausführbaren Daten, wie Bilder, Videos und Musik gelten als relativ sicher und können ohne Bedenken gesichert werden. Allerdings wäre es möglich, dass du dich selber nach der Neuinstallation wieder infiziert hast. Der hier musste dreimal neuinstallieren: http://www.trojaner-board.de/68318-r...-erhalten.html

Hänge die externe Festplatte bei dem Scan von MalwareBytes mit an, sowie alle sonstigen Datenträger, die du mit dem Computer jemals verbunden hast.

Ja, dafür gibt es genügend Scanner. Einem würde ich nicht vertrauen, aber mit einer Kombination aus mehreren kann man relativ sicher sein.

ciao, andreas

okay,Dankeschön.Welche fehlenden 3 Logs sind gemeint (hab ich nciht ganz verstanden irgendwie) ? Die aus der Anleitung "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten"?

oder von beliebigen 3 Scannern?

Soll ich vor der Neuaufsetzung nochmal scannen oder erst danach?

Lg simagain

Genau die aus der Anleitung bitte :)

okay, vor der Neuaufsetzung auch nochmal scannen?
`
lg simagain

DU machst NICHTS erstmal mit neuaufsetzen.
DU holst dir erstmal die 3 Logs, das sich John.doe sie anschauen kann um näheres sagen zu können.
Man sollte, wenn man in so einem Forum ist, nichts selber versuchen, ohne einen Kompetenzler & dessen Anleitung, denn dadurch kann die Bereinigung des Systems noch schwerer sein, wenn man einen fehler begeht.
Also schön auf die Person achten, die dir hilft und nach Seiner/Ihrer Anleitung gehen.

Und nun hole dir erstmal NUR die 3 Logs. Bitte nichts in Eigenregie durchführen, danke :)

@Angel21
Du bist wirklich ein Engel. http://www.cosgan.de/images/smilie/liebe/n020.gif

ui, dankeschön xD mal schnell und glaubhaft meinen Heiligenschein putze! ;)

sodala, ccleaner ausgeführt und leider ewig lang an Malewarebyte rumgesessen.Hab es jetzt zig mal runtergeladen und es geht einfach nicht auf.Kann es nie öffnen, geht nicht.

Was soll ich tun?Kann mal einer von euch probieren ob es bei euch geht?
Die Homepage von denen ist nämlich auch down.

Danke

simagain

Ich schaue mir das mal an, einen Moment bitte ^^

Hole es dir mal von der Seite Malwarebytes.org
Habs getestet und ausprobiert, hier geht es ^^

Dort steht bei mir: vielleicht vom Virus geblockt?okay,es wird SICHER vom Virus geblockt, da auch die anderen Anfangsprogramme genauso geblockt wurden: Kurz kommt die Sanduhr am Pfeil und dann passiert nichts.
:(,lg



Dafür hier die anderen Logs:

Hijack this:










und die save_list:
lg

Versuche meine "Geheimwaffe" Quietscheentchen.

Falls es sich installieren lässt, führe vor dem Scan unbedingt ein Update durch.

Falls es sich nicht installieren lässt, dann
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Dann warte mit Malwarebytes bis John.Doe antwortet, haste schon den Bericht von CCleaner? Wenn ja, dann poste ihn mal hier ^^


huch, hat sich erledigt xD

Das Quietscheentchen ging leider nicht *lach*.

Aber ich hab dann folgendes gemacht:Ich hab ComboFix ausgeführt.
Am Anfang des Scans sagte es mir dass Irgendwelche Internetdateien gefunden wurden die gelöscht werden müssten:

C:\WINDOWS\system32\drivers\gaopdxmburrwowbnmpfqxsbrfoawhtkspylqbd.sys
" \ " \ " \gaopdxmtnqwmkjneonwevnjkbwkjfxnmtnthks.dll

Combofix bootete neu und fuhr fort mit dem Scannen.Leider war bei dem Neustart mein Av wieder aktiv, also brach ich vorsichtshalber per Strg+alt+entf den Combofix Scanvorgang ab und löschte AV von meinem Pc.

So aus Spaß auf Malewarebyte geklickt und es ging.
Malewarebyte Log und Combofix Log folgen in den nächsten 10 Minuten.

:D,Lg simagain

mach erst mal Malwarebytes, dann combofix bitte

hier das malewarebyte Log:

Sehr komisch, nichts gefunden?


Combofix Log:





lg simagain

Tu so etwas nie wieder!

Combofix weiß damit umzugehen das nach einem Neustart die AV-Software wieder aktiviert wird!
Problematisch ist es nur weil CF auch einige Systemtreiber kurzzeitig zurücksetzt, unter anderem die Internetverbindung...

:/,mist.Ich werds mir einverleiben.Danke.
Hab gedacht beenden wäre besser als laufen lassen. :headbang:

Über derartige Programme weiß ich leider auch nichts.

Lg simagain

Was ist dein Laufwerk F:?
Hattest du wirklich alle externen Datenträger angeschlossen?

ciao, andreas

Jap,2 stück.Volume ( F: ) ist ein externer, Datalux ( E: ) der andere.

Da steht es :

Du hast dich nach der Neuinstallation mit deinem externen F: Laufwerk gleich wieder neu infiziert. Hast du noch irgendetwas mit dem Rechner verbunden, wie Handy, Memorycards, Memorysticks, Kamera, .... ? Wir müssen alles erwischen, sonst ist der ganze Aufwand vergeblich.

ciao, andreas

nein,habe sonst absolut nichtsmehr dran.Nur die 2 Festplatten.Ja F: ist die Platte auf der ich meine Daten gesichert habe die ich brauche.

Was muss ich nun tun?

Lg simagain

Gibt zwei Möglichkeiten:

1.) Neuinstallation. Danach werde ich dich scannen lassen, bist du blau wirst, um die externen Datenträger sauber zu bekommen.

2.) Bereinigung. Da werde ich dich allerdings scannen lassen, bis du schwarz wirst, also überlege dir gut, ob du das willst.

Die erste Möglichkeit ist schneller und sicherer, deine Entscheidung. AdAware wird nicht mehr installiert.

ciao, andreas

Adaware ist eh zeimlich veralteter Kram, genau wie Spybot - kann/könnte mich Spybot S&D nicht wirklich anschließen. ^^

hm,okay.Dann nehme ich wohl die 1.).
Muss ich am Anfang gleich Antivir oder irgendwelche Viren-Programme draufspielen oder kann ich das lassen?

Ich werde gleich morgen in der Früh neu aufsetzen.
Soll ich dann den Datenträger F: erstmal nciht anschließen und scannen ob vor dem Anschluss alles sicher ist?

Lg sima

Ich persönlich nutze kein Antivirenprogramm ausser brain.exe. Wenn du dem Irrglauben abschwörst, ein Sicherheitsprogramm könne dich beschützen, dann installiere Avira. Aber sei dir bewusst, das es kein wirklicher Schutz ist.

Schützen kannst du dich mit diesen einfachen Regeln (versuche die Regel zu finden, gegen die du verstossen hast und lerne daraus): http://www.trojaner-board.de/69792-r...tml#post412719

Wichtig ist es, alle Sicherheitsupdates von MS zu installieren. Vor der Neuinstallation das SP3 und MSIE 7 downloaden, Verbindung zum Internet trennen, Neuinstallation, SP3 draufspielen, MSIE 7 installieren, Verbindung zum Internet herstellen und umgehend alle Updates von http://update.microsoft.com installieren. Autoplay abschalten, die externen Festplatten anschliessen und mit folgenden Scannern testen:

1.) Führe Superantispyware nach dieser Anleitung aus und poste das Log: http://www.trojaner-board.de/51871-a...tispyware.html

2.) Vollständigen Scan mit MalwareBytes.

3.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

4.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

5.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

Logs nur posten, falls etwas gefunden wird. Zum Abschluss ein HJT-Log posten.

ciao, andreas

:D, Vielen Dank für's Helfen, mach mich gleich morgen fleißig ans Werk. ;)
Dann lass ich die ganzen Antivir-Programme in Zukunft weg.

Danke für die klaren Anweisungen.Bis morgen so um Mittag rum sind die ganzen Logs wahrscheinlich da.

Achja, die Pfade in den Logs, dort habe ich meinen Namen nicht bearbeitet (wie es eig. in den Regeln steht) da es nicht mein vollständiger ist sondern nur Simon, könnte jeder sein.Aber dürfte kein Problem sein oder?

lg sima

Ich würds trotzdem wegXXXen ;)

Ich weiß nicht ob das was zur Sache tut, ich konnte wegen dem Virus nie per Doppelklick eine Festplatte öffnen.Jetzt geht es, wegen Combofix wahrscheinlich.

Lg simagain

Also es wird noch etwas dauern bis ich alle Logs habe.
Schon allein der Superantispyware Scan dauert über eine Stunde.
Und den muss ich ja dann nochmal im abgesichterten Modus durchführen.
Kann gegen NAchmittag werden bis ich alles hab oder frühen Abend.


SUPERAntiSpyware-Log:

Lg simagain

Das mit dem abgesicherten Modus kannst du dir schenken. Bin von gleich bis morgen abend nicht erreichbar, also nicht wundern.

ciao, andreas

okay, hab den leider schon durchgeführt.
Also der im abgesichterten Modus hat NICHTS mehr gefunden.
Malewarebytes hat ebenfalls NICHTS infiziertes gefunden.

Ps:Hab natürlich auch nach Neuinstallation gleich Sp3 + Ie7 drauf gemacht ;).

Lg simagain

Da ich heute mit Dr.CureIt über 4 stunden lang gescannt habe und das Programm sich gegen Ende aufgehangen hat muss ich den Scanvorgang leider wiederholen.

Ich werde den Pc heute über Nacht mit CureIt und Panda durchscannen und morgen gleich die Logs posten.

Tut mir Leid wegen der Verzögerung.

John.doe, vielleicht kannst du morgen Nachmittag oder Abend mal hier rein schauen wegen den Logs ;). Wäre super.

Lg simagain

Wenn jemand den Doppelpost verschmelzen könnte soll er dies bitte tun.:heilig:

http://www.cosgan.de/images/smilie/liebe/n020.gif
:daumenhoc

ciao, andreas

So, hier das Active Scan-Log:





HijackThis Log:

PrevX CSI hat NICHTS gefunden.


Und das Kaspersky Scan-Log ist viel zu groß um es anzuhängen oder in Posts zu posten.Wie soll ich es hier reinbringen, oder wo soll ich es hochladen?
Konnte die Namen in dem Kaspersky-Log unmöglich wegXXXen weil das Log einfach viel zu groß ist und die Namen viel zu oft vorkommen.

Gibt es da ein Programm dass die Namen automatisch wegXXXt?
Hätte da nämlich gerne 3 Namen weggeXXXt.

CureIt Dr.Web hat sich schon wieder (wie jedes mal) bei der gleichen Datei aufgehängt.Habe diese Datei nun gelöscht und es ist gerade am Scannen.

Lg simagain

Wenn ich den Dateinamen google, warum lande ich nur bei Torrents und solchen Seiten: :koch:

Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

ciao, andreas

Willst du damit sagen dass es illegal runtergeladen ist?
Die ganze Platte und die über 200GB darauf gehören meinem Bruder, ich frag ihn wo er es her hat.
Ich habs nun eh sofort gelöscht.
Wenn du andere illegale Dateien findest bitte sag es mir, die will ich sofort runter haben.

Lg simagain

Hab gerade noch einmal ein Blick auf das HJT-Log geworfen. :eek:

Deinstalliere:

• SuperAntiSpyware
• Prevx
• Panda Online Scanner
• Ask Toolbar (Adware)

ciao, andreas

Kaspersky Log:

http://www.2shared.com/file/5058099/dc9ab4f2/Kaspscan.html


Hab gelöscht.

Lg simagain

148,614 KB :eek: Das dauert. :(

Allerdings schon interessant, was einige Leute bei sich so alles auf der Festplatte haben. :kloppen:

Dr.Web Log:


lg simagain

1.) Hole diese Datei aus der Quarantäne und lasse sie bei Virustotal auswerten.
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

Nach Neustart kann sie wieder aktiviert werden.

3.) Deinstalliere Doctor Web und lösche den Ordner C:\Dokumente und Einstellungen\Administrator\DoctorWeb\

ciao, andreas

wie hole ich ihn aus der Quarantäne?

lg simagain

Das kann nur funktionieren, wenn du es in Quarantäne geschickt und nicht gelöscht hast. Den Pfad findest du auf dem Tab Action. Da ist aber noch mehr Zeug. Also immer weiter scannen.

ciao, andreas

Mit welchen Programmen soll ich nun weiter scannen?
Ist der HD - Plugin Virus schon weg?

lg simagain

Ja. Poste bitte ein aktuelles HJT-Log.
Wahlweise zwei von diesen hier:
Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
BitDefender Online Scanner - Free Online Virus Scan
F-Secure Support-Seiten: F-Secure Online-Virenscanner
Kostenloser Online Virus und Spyware Scanner - Trend Micro Deutschland

ciao, andreas

UUUiii :party:
Danke vielmals :D


Ich hab bei Dr.Web den Pfad: %USERPROFILE%\DoctorWeb\Quarantine\
Das ist die Quarantäne.Wie komm ich in dieses Verzeichniss? Ich finds nicht...


Hier das Hijackthis-Log:


Ich werd mit diesen programmen weiterscannen.Kann ich einfach alles löschen was ich finde?


lg simagain

Egal.
Ich traue keinem AVP, aber im Zweifelsfall lieber löschen lassen.

Dein Java ist veraltet und das Virus Removal Tool kann deinstalliert werden.

ciao, andreas