BDS/HacDef.073.B.1 -> wer kann mir bei der Beseitigung helfen?

#1 Guten Morgen,

besser guten Abend, ich hab ein Problem dass sich BDS/HacDef.073.B.1
nennt. Es verursacht folgende Erscheinungen:

-Runtimefehler: 5 at 00410F60;
-SpybotS&D ist plötzlich nicht mehr da;
-CWShredder ist verschwunden;
-HijackThis ist auch weg;
-diese Programme lassen sich nicht downladen, der DL bricht immer in der letzten Sekunde ab, -Fehlermeldung: Quelldatei konnte nicht gefunden werden;
-die Startseite heisst jetzt:Free Search Online,
eine andere lässt sich nicht einstellen;
-ich komme bei keiner Seite mehr ins Login ausser bei web.de (SSL)->
cookie kann nicht gesetzt werden sagt mir z.b. Klamm.de
[kann das daran liegen dass ich sämtliche cookies gelöscht habe???]

bin echt ratlos, weil ich unter dieser Virenbezeichnung nicht viel finden konnte,
-Antivir (heute updated) erkennt ihn, löscht eine Datei, aber er kommt wieder.....
-Kann kein log erstellen...

Was könnt ihr mir empfehlen?

*Danke*
Tommy

#2 @Tommytomson1

Probier mal folgendes
HiJackthis.exe in test.com umbenennen.
In ein zipfile packen und direkt aus der Zipdatei starten.

und dann das logfile posten


oder lade dir Escan
http://www.rokop-security.de/board/index.php?showtopic=3867

Dann dies im abgesicherten Modus durchführen.
http://www.bsi.de/av/texte/winsave.htm

und dann das HiJackthis Logfile erstellen

Das wichtigste wäre ein HJT Logfile zu haben damit wir sehen was Sache ist.

Hier mal ein paar Infos dazu
http://www.pestpatrol.com/pestinfo/b/backdoor_hacdef.asp

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 Hallo Paff,

also, ich danke erst mal, - hab mich soeben über den abgesicherten modus informiert, und bin dabei eScan downzuladen.

allerdings: auf meinen rechner ist hijackthis scheinbar nicht mehr vorhanden, - wie soll ich ein log erstellen?

Grüße, Tommy

EDIT: hab eScan durchlaufen lassen, 23!!! viren und trojaner will er erkannt haben. Trotzdem würde ich es nochmal im abgesicherten modus machen wollen.

wie muss ich vorgehen??

Grüße, Tommy

#4 Das Backdoor ist zwar uralt aber immerhin ein Rootkit.(über eine Formatierung könnte man auch nachgrübeln)
Sollte Escan das Problem allein nicht lösen dann erstmals mit TaskInfo den Prozess 'hxdefdrv.sys' beenden.

Gruß
Ajax

#5 Hi Ajax,

leider hat eScan das problem nicht gelöst. Es taucht wieder auf. ich werde zunächst einmal einen neuen scan von

http://www.pandasoftware.com/activescan/com/

probieren, weil dieser das problem sogar reparieren soll.

sollte das nicht funzen werde ich mich noch mal bei dir melden, zwecks TaskInfo, und dessen handling.

Danke erstmal.

Grüße, Tommy

EDIT:

auch pandasoft findet ihn, löscht ihn (???) und er ist wieder da.

:-(

#6 @tommytomson1

Hat nicht gelesen das du HiJackThis garnicht runterladen konntest.

Wenn du mir deine EMail gibts schick ich dir das Programm.

Wichtiger aber, Machmal das was Ajax gepostet hat.
LAd dir das Tool und beende den "böses" Prozess. Solange der läuft kannst du machen was du willst , du wirst den Virus nicht los.

Ließ dir auchmal meine Link durch dort wird der Virus beschrieben.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 Moin Paff,

meine addy: tommytomson@web.de
vielleicht kann ich es ja ausführen wenn es in ner mail kommt.

zu ajax: hab dieses tool runtergeladen, weiss aber nicht wie ich diesen prozess finden soll. das programm findet ihn nicht, besser ich weiss nicht unter welchem menüpunkt ich suchen soll..... :-(((

GrUß, Tommy

#8 @tommytomson1

Datei ist unterwegs , ich schicks als Zipfile und benenne die HiJackthis.exe gleichb in abc.com um . Also dann zipfile öffnen und daraus die Datei direkt starten.

Zu TaskInfo.
Starten und Menu "Edit" öffnen , dort "Copy panes to clipboard"

Dann liegt alles in der Zwischenablage. Dies dann hier reinkopieren!

Es gibt auch noch den Menupunkt "Copy all Infos to clipboard"
Dies sind dann aber zuviele Infos und würden das Board sprengen
Pack dies mal in eine Textdatei und schicks mir dann gezippt an
mike_hangover@gozomail.com (Meine FakeEMail).

gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#9 hi paff,

hab hijackthis erfolgreich durchlaufenlassen, und gleich auf hijackthis.de prüfen lassen.

hier ist nach meinem ersten fixing das neue logfile:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\internat.exe
C:\PROGRA~1\FRN_INBC\frn_inbc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\tommy\Lokale Einstellungen\Temp\abc.com
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - Global Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Übersetzen - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/toolbar/altavista.cab?r=1087288360
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


werde jetzt den rechner mal neu starten. mal sehn.....,
anschließend bin ich wieder hier, und probiere mal TaskInfo nach deiner anleitung aus.

Danke erstmal.

Grüße, Tommy

#10 @tommy

WICHTIG:
Der Virus ist ein "Rootkit". Dies bedeutet das "normale" Programme diesen virualen Prozess garnicht anzeigen, weil die Erkennung schon auf unterster Ebene ("root") verhindert wird. Deswegen zeigt HiJackThis diesen "bösen" Prozess garnicht an.

Nur Progs wie TaskInfo können das.Also her mit dem Log

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#11 @ paff.... -> so, das TaskInfo-log:



[Process Pane]

|ProcessID| |Process| |% CPU| |CPUGraph| |LT % CPU| |Time| |Sw/s| |InMem KB| |Private KB| |Total KB| |Th||Pri| |Ver||State| |Handles| |Windows| |USER Obj| |GDI Obj| |Start Time||Path|

+ Interrupts Time 0,07% 0:05 197 0 0 0 1 Hard 4,0 0 0 0 0 Interrupts Time Placeholder
+ DPC Time 6,25% 6,16% 3:50 128 0 0 0 1 DPC 4,0 0 0 0 0 DPC Time Placeholder
+ Idle 91,40% 73,59% 53:58 65 16 0 0 1 Very Idle 0,0 0 0 0 0 System Idle Process
8 + System 0:05 96 216 24 1.700 37 Norm 0,0 82 0 0 0
180 + smss.exe 0 396 1.708 5.880 6 BNorm+1 5,032 Con 33 0 0 0 2004-09-09 14:59:42C:\WINDOWS\System32\smss.exe
148 + csrss.exe 0,74% 0:04 24 1.980 1.704 17.544 9 High 5,032 Con 282 0 39 34 2004-09-09 14:59:45C:\WINDOWS\system32\csrss.exe
108 + winlogon.exe 0:01 1 3.352 6.768 37.280 19 High 4,032 Gui 412 2 7 18 2004-09-09 14:59:46C:\WINDOWS\system32\winlogon.exe
216 + services.exe 0,78% 0,07% 0:02 26 6.840 4.488 34.712 32 Norm+1 4,032 Gui 465 0 1 6 2004-09-09 14:59:48C:\WINDOWS\system32\services.exe
228 + lsass.exe 0:01 0 872 3.020 29.032 16 Norm+1 4,032 Gui 278 0 0 4 2004-09-09 14:59:48C:\WINDOWS\system32\lsass.exe
340 + Ati2evxx.exe 0 1.356 944 14.948 4 Norm 4,032 Gui 47 1 1 4 2004-09-09 14:59:50C:\WINDOWS\system32\Ati2evxx.exe
428 + svchost.exe 0 5.428 3.352 24.888 10 Norm 4,032 Con 221 0 0 4 2004-09-09 14:59:51C:\WINDOWS\system32\svchost.exe
452 + spoolsv.exe 0 4.304 3.212 26.904 13 Norm 4,032 Gui 166 0 0 4 2004-09-09 14:59:56C:\WINDOWS\system32\spoolsv.exe
500 + svchost.exe 0:02 32 10.148 5.880 46.268 30 Norm 4,032 Con 488 0 6 8 2004-09-09 14:59:56C:\WINDOWS\System32\svchost.exe
564 + regsvc.exe 0 940 916 10.392 2 Norm 4,032 Con 29 0 0 0 2004-09-09 14:59:57C:\WINDOWS\system32\regsvc.exe
580 + MSTask.exe 0 3.308 1.732 25.484 6 Norm 4,032 Gui 113 1 1 4 2004-09-09 14:59:58C:\WINDOWS\system32\MSTask.exe
636 + WinMgmt.exe 0:05 0 480 1.440 21.964 4 Norm 4,032 Gui 113 0 0 4 2004-09-09 14:59:58C:\WINDOWS\System32\WBEM\WinMgmt.exe
944 + Ati2evxx.exe 0 1.228 892 13.924 3 Norm 4,032 Gui 39 1 1 4 2004-09-09 15:00:21C:\WINDOWS\system32\Ati2evxx.exe
980 + Explorer.EXE 0,23% 0:05 2 2.500 6.520 52.132 14 Norm 4,032 Gui 318 47 82 136 2004-09-09 15:00:21C:\WINDOWS\Explorer.EXE
748 + sistray.EXE 0 1.660 1.160 17.468 1 Norm 4,032 Gui 28 3 10 27 2004-09-09 15:00:29C:\WINDOWS\System32\sistray.EXE
1032 + SOUNDMAN.EXE 2 2.536 1.320 24.848 3 Norm 4,032 Gui 65 1 4 10 2004-09-09 15:00:29C:\WINDOWS\SOUNDMAN.EXE
784 + atiptaxx.exe 0:01 0 3.956 2.400 29.132 3 Norm 4,032 Gui 95 1 32 63 2004-09-09 15:00:30C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
1076 + internat.exe 0 1.544 1.008 16.028 1 Norm 4,032 Gui 27 1 5 19 2004-09-09 15:00:30C:\WINDOWS\system32\internat.exe
1100 + frn_inbc.exe 0:01 27 8.940 4.400 51.320 3 Norm 4,032 Gui 178 111 126 149 2004-09-09 15:00:47C:\PROGRA~1\FRN_INBC\frn_inbc.exe
1096 + iexplore.exe 0,07% 0:37 14 1.612 16.996 94.100 18 Norm 4,032 Gui 634 108 284 522 2004-09-09 15:01:26C:\Programme\Internet Explorer\iexplore.exe
1028 + TaskInfo.exe 1,56% 18,84% 0:01 44 3.112 3.580 33.784 4 High 4,032 Gui 118 51 101 121 2004-09-09 15:58:02C:\Programme\Iarsn\TaskInfo2003 5.0\TaskInfo.exe

[System Pane]

CPU Clock MHz 2.000 % Idle Pri Threads
% CPU 8,60% % Idle 91,40%
CPUs Number 1 Queue for CPU 0
Processes 23 Threads 239
Thread Sw/s 337 HW Ints/s 197
Total Ph KB 785.904 Free Ph KB 640.936
File Cache KB 43.660 File cache peak KB 43.724
Free Virt KB 943.792 Committed KB 141.864
Paged Pool KB 35.796 NonPaged Pool KB 6.368
Max Swap KB 344.064 Swap in Use KB 20.424
Page Faults/s 215
Page Ins KB/s 0 Page Outs KB/s 64
File Read KB/s 43 File Write KB/s 43
File Reads/s 33 File Writes/s 29
Client Read KB/s 0 Client Write KB/s 0
Srv Transmit KB/s 0 Srv Receive KB/s 0
DUp Speed 38.600
DUp Read B/s 0 DUp Write B/s 0

[Current Process Pane]


kannst damit was anfangen??? hm? (hut-zieh)

Gruß, Tommy

#12

Zitat

kannst damit was anfangen??? hm? (hut-zieh)
Gruß, Tommy

Es geht so

Aber das sieht sauber aus.

Ich trau dem Braten aber noch nicht so richtig. Mach mal das erweiterte log
"Es gibt auch noch den Menupunkt "Copy all Infos to clipboard""
und schick mir dies an mike_hangover@gozomail.com (Meine FakeEMail)

Dann lad dir bitte den "Process Explorer" von sysinternals
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

und erzeuge unter "File Save as" eine Textdatei.
Inhalt hier posten

gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#13 @ paff,

du müsstest ne grosse post bekommen haben, - das programm lässt sich nicht downloaden, in der letzten sekunde bricht es ab mit der fehlermeldung: kann quelldatei nicht öffnen...

also isser noch da. das gleiche wie mit spybot, cwshreddr und hijackthis!

kann also kein log posten.....

Grüße, Tommy

#14 Bevor hier ein riesenlanger und sinnloser Thread entsteht weil eine Formatierung bei Rootkits immer die beste Lösung ist.(bei unerfahrene User erst recht)
Daten(Musik,Filme usw) auf eine andere Partition oder CD retten und Formatieren.
Es klingt hart aber glaubt's mir es ist in solche Fälle das Vernünftigste.

Gruß
Ajax

by the way
Um den versteckten Prozess zu sehen den Tabreiter Drivers in TaskInfo anklicken.

#15 @ajax

prozess erkannt, gesehen, kann ihn aber nicht deaktivieren. -wie mache ich das am besten?

Gruß, tommy