Home » Spyware & Browser Hijacker Support Forum » BDS/HacDef.073.B.1 -> wer kann mir bei der Beseitigung helfen? » Themenansicht

BDS/HacDef.073.B.1 -> wer kann mir bei der Beseitigung helfen?
#0
09.09.2004, 18:36
paff
Member

Beiträge: 1095
#16 @Tommy

Ließ dir das mal durch
http://home.arcor.de/scheinsicherheit/rootkits.htm
oder das hier
http://www.heise.de/security/artikel/38057/0

Wenn's hilft OK, wenn nicht hat
Ajax hat recht, format C: wäre angebracht.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 09.09.2004 um 18:37 Uhr von paff editiert.
Seitenanfang Seitenende
09.09.2004, 19:46
Ajax
Member
Avatar Ajax

Beiträge: 890
#17 Die Seite von forge77 und ntl ist sehr empfehlenswert und lehrreich doch wollte ich in diesem Falle nicht darauf hiweisen ;)
Grund:Ratschläge für das Entfernen von Rootkits sollten m.E hier keine Schule machen.
Da i.d.R meist unerfahrene User sich damit infizieren ist auch nach einer Säuberung fraglich ob nun das System wirklich sauber ist.
Anders bei erfahrene User die versuchsweise sich absichtlich infizieren und eine erfolgreiche Säuberung testen,wobei auch hier auf Testrechner oder unter bestimmte Testbedingungen getestet wird.
Einzig wichtig für's Board wären daher m.E nur Methoden zum Aufdecken von Rootkits.
Wer schon infiziert ist(i.d.R weiß man auch nicht wie lange schon) der sollte format:c als die einzige und beste Reinigungsmethode zu Herzen nehmen ;)Alles andere sind nur gefährliche Experimente.

@Tommy
Abgesehen davon ob Du mit Hilfe von RegdatXP,RKDetector usw,hxd entfernst,ein Neuaufsetzen des BS ist sehr ratsam.(siehe dazu auch meine PM)

Gruß
Ajax
Dieser Beitrag wurde am 09.09.2004 um 19:48 Uhr von Ajax editiert.
Seitenanfang Seitenende
09.09.2004, 21:51
paff
Member

Beiträge: 1095
#18 @AJAX

Das Recht auf Bildung hat jeder ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
12.09.2004, 15:37
Tommytomson1
...neu hier

Themenstarter

Beiträge: 10
#19 hi ajax und paff,

also, ich hab mich entschlossen das win neu aufzusetzen.

allerdings habe ich solche dinge zuletzt in zeiten von 486er Rechnern gemacht.

1.Frage: wenn ich das win neu auf das alte aufsetze, was passiert meinen anderen programmen wie office, corel, meiner buchführung usw?
(hab die dateien auf cd gebrannt, werde sie aber dann falls die software nicht mehr da ist nur teilweise verwenden können, weil einige software auf dem rechner war, ohne dass ich eine oem-cd besitze.)

2.Frage: was passiert meinen treibern? ich habe im mom win2000, service-pack4, aber meine oem-cd sagt mir sie sei nur sp2.... ?

3.Frage: was passiert mit meinem i-netzugang (hab die freenet-cd nicht mehr...)

4.Frage: wenn ich win aufsetze, ist das rootkit dann definitiv entfernt, oder kann es sich in anderen programmen festgesetzt haben?

also, sicher alles laienhafte fragen..., bin wirklich nur noch user....

danke trotzdem, ich beuge mich der vernunft :-)

Grüße, Tommy
Seitenanfang Seitenende
12.09.2004, 23:50
Ajax
Member
Avatar Ajax

Beiträge: 890
#20 Die Entscheidung das BS neu aufzusetzen ist in deinem Interesse.
Eine Entfernung dieses Rootkits mit Hilfe von RegdatXP oder RKDetector dürfte zwar funktionieren aber das Risiko daß dein Rechner trotzdem kompromitiert bleibt,ist groß.

1.Auf das Alte drüberbügeln bringt nichts.Du mußt formatieren.Dabei geht alles auf der Partition verloren.
2.Treiber kann man auch auf CD retten(sollten aber keine Malware-Treiber dabei sein !)
WinDriver Expert v1.10 ist praktisch und Freeware.Nachher mußt Du die Treiber nach Bedarf wieder installieren.
Falls Du SP4 nicht gesichert hast,mußt Du es neu downloaden.
3.Den I-netzugang mußt Du neu einrichten.Kenne Freenet zwar nicht aber vielleicht geht es auch ohne Zugangsoftware.
4.Siehe Antwort Nr.1.Alles heißt auch deine Programme.Die mußt Du auch alle neu installieren.

Gruß
Ajax
Seitenanfang Seitenende
03.11.2004, 20:07
summs
...neu hier

Beiträge: 8
#21 ich hab das selbe problem : den "BDS/HacDef.073.b.1".... zumindest sagt das mein Virenscanner....

nun hab ich da das ein oder andere problem:
1. ich habe keinen plan von solchen sachen
2. spybot s&d ist verschwunden und lässt sich auch nicht downloaden
3. meine startseite beim IE lässt sich nicht mehr ändern und ist für irgendeine komische werbeseite festgelegt.... auch bei meinen favoriten sind welche dazugekommen, die sich immer wieder regenerieren
4. ich bekomm das ding nicht runter... hab überall recherchiert aber sowas wie hijackthis kappier ich nich ganz...
5. ich kann nicht formatieren ! ich hab xp drauf... wenn ich die cd einlege zeigt mein laufwerk die nicht an... dementsprechend kann ich auch nciht von ihr booten... wie soll ich denn jetzt das bs plattmachen ??
6. ich hab n paar sicherungen auf cd gemacht... wenn davon welche infiziert sind mit dem ding... kann der sich dann wieder ausbreiten, wenn ich die später wieder auf die sachen platte packe ?
7. ich habe 2 partitionen : eine für das BS und den rest für schulsachen musik spiele und so.... sind automatisch beide infiziert ??

bitte helft mir, ich bin total überfordert !

summs
Seitenanfang Seitenende
04.11.2004, 14:32
summs
...neu hier

Beiträge: 8
#22 hijackthis kann ich auch nicht downloaden....
Seitenanfang Seitenende
08.11.2004, 07:48
summs
...neu hier

Beiträge: 8
#23 warum hilft mir keiner ? ich dachte dieses board wäre dazu gut....
Seitenanfang Seitenende
08.11.2004, 15:05
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Hallo@summs

Versuch mal das:
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.11.2004, 18:39
summs
...neu hier

Beiträge: 8
#25 kann den download zwar starten, aber sobald er beendet ist, ist die datei verschwunden... hab es mehrere male versucht....
Seitenanfang Seitenende
08.11.2004, 20:15
Ajax
Member
Avatar Ajax

Beiträge: 890
#26 @summs

Lade dir ProcessExplorer
Bei Find-Option non-ex oder hxd eintippen und suchen lassen.
Die angezeigte PID mit APT beenden:
"...OR, manually specify a process ID..." auswählen
"ALL" anklicken, die PID eintragen und anschließend bestätigen.

Nun sollte HD beendet sein und Du kannst auch die bisher unsichtbare Einträge/Registry löschen.

Gruß
Ajax
Seitenanfang Seitenende
08.11.2004, 23:25
summs
...neu hier

Beiträge: 8
#27

Zitat

Ajax postete


Lade dir ProcessExplorer
lässt sich ebenfalls nicht downloaden... verschwindet sofort nach download.... habs auf nem anderen pc geladen und gebrannt... cd eingelegt : NIX DRAUF ! aber auch nur bei mir....
Dieser Beitrag wurde am 08.11.2004 um 23:27 Uhr von summs editiert.
Seitenanfang Seitenende
08.11.2004, 23:42
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 Hallo@summs

Bei BDS/HacDef.073.b.1 hast du (fast) keine Chance....wirst wahrscheinlich neu formatieren muessen.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.11.2004, 23:46
summs
...neu hier

Beiträge: 8
#29 ok... ich hab das programm jetzt... wenn ich aber nach "non-ex" oder "hxd" suche, findet er keine prozesse

Zitat

Sabina postete
Bei BDS/HacDef.073.b.1 hast du (fast) keine Chance....wirst wahrscheinlich neu formatieren muessen.
ähm... wie denn ? wenn ich nicht win-cd booten kann ?
Dieser Beitrag wurde am 08.11.2004 um 23:47 Uhr von summs editiert.
Seitenanfang Seitenende
09.11.2004, 06:13
summs
...neu hier

Beiträge: 8
#30 ich habe geschafft hjt runterzuladen... hier mein logflie:

Code

Logfile of HijackThis v1.98.2
Scan saved at 06:08:58, on 09.11.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\FLASHGET\flashget.exe
C:\Programme\WinRAR\WinRAR.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FLASHGET\jc_link.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O12 - Plugin for .qt: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123