BDS/Haxdoor.LJ.1 - keine Neuinstallation von win möglich??

Mache bitte ein logfile mit hijackthis und poste es hier!

Download:
http://www.chip.de/downloads/c1_downloads_24575647.html

Klick:"Do a System scan and save Logfile"
Den text aus em Editor Komplett hier rein kopieren OHNE veränderungen!

Vielleicht kann man ja noch was machen,aber glaube eher nicht,da du einen backdoorer drauf hast.

Wenn du nach dem du auf den power knopf drückst hast die ganze zeit f11 drückst müsste sich ein screen öffnen wo du ein laufwerk auswählen kannst,von da aus kannst du dann die windows cd zum laufen bringen.


gruß deniz

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:52, on 20.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
D:\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
D:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Traute\Desktop\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.T-Online.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: (no name) - {23B72459-0BD9-4369-99B8-D0100634F590} - (no file)
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~3\IEBUTT~2.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ClipIncSrvTray] "D:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {D7B62AFA-BBB6-4ED0-B0A6-847C84A31830} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {D7B62AFA-BBB6-4ED0-B0A6-847C84A31830} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.T-Online.de
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.0.cab
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.3/g_bin/eng/boards_2_0_0_24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152464381937
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O20 - AppInit_DLLs:  sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: rlx5dom1 - C:\WINDOWS\SYSTEM32\rlx5dom1.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.8.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6435 bytes



Ich habe es schon mit dem Drücken von mehreren Tasten probiert... Hat bislang nicht gekkappt.
Bei F11 lädt er win ganz normal.
Bei F8 macht er was anderes, da der Bildschirm aber schwarz bleibt, sehe ich nicht,was er macht

Gruß
Zwimpel

Schalte die Systemwiederherstellung aus und fixe diese einträge:


R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O2 - BHO: (no name) - {23B72459-0BD9-4369-99B8-D0100634F590} - (no file)

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

Lade dir killbox runter:

http://www.chip.de/downloads/c1_downloads_20730776.html

und lösche damit diese datei:

C:\WINDOWS\SYSTEM32\rlx5dom1.dll

Boote neu,und schaue ob die datei noch da ist.

Außerdem lasse deinen pc mal online scannen mit f-secure und panda:

http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(internet explorer)
solltest du antivire auf em pc haben,wird es dir sagen,dass es was gefunden hat,da gehst du auf ignorieren.

F-secure:(internet explorer)
http://support.f-secure.de/ger/home/ols.shtml

außerdem scanne deinen pc mit Cureit:
Cureit:
Das kostenlose Programm muss nur herunter geladen, eine Installation ist nicht erforderlich und ist vollständig in Deutsch.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
oder
http://www.freedrweb.com/cureit/?lng=de
Wähle nach der kurzen Expressprüfung deine Systempartition aus, in der Regel ist das Laufwerk C und
beginne den vollständigen Scan. Poste bitte bei einen Malware Fund auf jeden Fall den ausführlichen Scanreport von Cureit hier !

Die Aktion muss im abgesicherten Modus von Windows erfolgen und
achte darauf dass der Browser geschlossen ist und keine Internetverbindung besteht, Idealerweise sollten alle Anwendung geschlossen sein !
Unter http://www.bsi.de/av/texte/wiederher.htm
findet man eine Anleitung zum Start im abgesicherten Modus von Windows.

(F-secure und panda im normalmodus nutzen)

Poste alle funde hier.

Und erstelle ein neues Log von Hijackthis.


gruß deniz 

Das bisherige Ergebnis:

Die 4 Einträge Hijackthis habe ich entfernt

killbox hat die Datei nicht gefunden

panda hat einiges gefunden - an den report komme ich aber nicht mehr ran

bei f-secure isser dreimal beim scannen abgestürzt

habe mir cureit runtergeladen und wollte im abgesicherten Modus starten (nach der Anleitung "den Start in den abgesicherten Modus auch vor dem Neustart veranlassen")

Wenn ich jetzt den pc neu starte, habe nur noch ein schwarzes Bild.
In windows komme ich gar nicht mehr rein.


Wenn ich den Start in den abgesicherten Modus vor dem Neustart veranlasse und den pc dann starte, müsste ich dann bevor win geladen wird noch etwas machen/eine taste drücken?
Das funktioniert ja (hoffentlich) noch, ich sehs halt nur nich...

Gruß
Zwimpel


 

Versteh ich dass jetzt richtig du kommst auch nicht mehr normal bei windows rein??Verstehe nicht warum.

Formatiere und du wirst ruhe haben  .

Hier noch was zum neu aufsetzen.

http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

gruß deniz

Kanns du die Festplatte nicht ausbauen und bei jmd anders formatieren,da es bei dir ja nicht klappt.

 

jup, win geht gar nicht mehr

ich hab ja vor dem neustart eingestellt, dass er immer im abgesicherten modus starten soll und das will der bildschirm mir wohl nicht zeigen   und ändern kann ichs nu auch nicht mehr...

Also, ich kann sie nicht ausbauen. Werd dann morgen mal rumfragen, ob mir das jemand machen kann.


Gruß Zwimpel