haxdoor!!! Aahhhrgh!

[Marvin]

Hab mir auf irgendeine weise den rechner mit haxdoor (vermutlich haxdoor-z) infiziert!!!!
Kann mir jemand sagen, wie ich die maschine wieder clean bekomme?
Hab schon Antivir, den McAfee Stinger und Ad-Aware probiert, klappt aber nix.
Im abgesicherten Modus läuft der rechner allerdings...

Bitte helft mir!
Marvin

[tyco]

Um den Trojaner wegzubekommen würde ich es zunächst mit Spybot Search & Destroy und anschliessend mit HijackThis versuchen. Poste mal den Logfile von HijackThis.

[Marvin]

Spybot hab ich grad eben versucht, hat aber nichts gefunden
Hier ist der log:

Logfile of HijackThis v1.97.7
Scan saved at 14:31:54, on 08.12.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Don Johnson\Desktop\HijackThis.exe
C:\WINDOWS\System32\vtd_16.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} - http://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab

[tyco]

Ist aber eine alte Version...da gibt es was neueres. Ich schau es mir dennoch mal eben an.

[Marvin]

wo bekomme ich denn eine neuere her?

[Marvin]

schon  gut, hab ne neue gefunden, der log kommt sofort

[tyco]

Also da ist eigentlich alles ok wenn Du einen T-COM WLAN Manager T-Sinus 154 installiert hast. Ansonsten den Eintrag:

O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe

unbedingt fixen.

Hijack This (Currently at version: 1.98.2)  bekommst Du hier:

http://www.spywareinfo.com/~merijn/downloads.html

[Marvin]

Ok, danke, werds mal versuchen
Hier ist der aktuelle log:

Logfile of HijackThis v1.98.2
Scan saved at 18:46:35, on 08.12.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\vtd_16.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Dokumente und Einstellungen\Don Johnson\Desktop\HijackThis.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\imapi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe

[Marvin]

Hab grad die demo von "escan" versucht, hat als einziges programm was gefunden:
(Allerdings kann die demo nur finden, nicht reinigen....)

File C:\WINDOWS\SYSTEM32\MEMLOW.SYS infected by "Backdoor.Win32.Haxdoor.ar" Virus.
Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM32\VDNT32.SYS infected by "Backdoor.Win32.Haxdoor.gen" Virus.
Action Taken: No Action Taken.

File C:\WINDOWS\System32\hm.sys infected by "Backdoor.Win32.Haxdoor.gen" Virus.
Action Taken: No Action Taken.

File C:\WINDOWS\System32\memlow.sys infected by "Backdoor.Win32.Haxdoor.ar" Virus.
Action Taken: No Action Taken.

File C:\WINDOWS\System32\vdnt32.sys infected by "Backdoor.Win32.Haxdoor.gen" Virus.
Action Taken: No Action Taken.

File C:\WINDOWS\System32\wd.sys infected by "Backdoor.Win32.Haxdoor.ar" Virus.
Action Taken: No Action Taken.

File C:\DOKUME~1\DONJOH~1\LOKALE~1\Temp\setup2.exe tagged as not-a-virus:Tool.Win32.Reboot.
No Action Taken.

[Marvin]

Hab nen T_sinus 154, das ist richitg

[tyco]

Wie gesagt, wenn Du diesen WLAN-Router oder was immer das ist von der T-COM nicht besitzt, versteckt sich dahinter ein Virus (Wurm). In diesem Fall fixen. Ansonsten solltest du den Internet Explorer unbedingt updaten oder besser gleich Mozilla Firefox verwenden.

Könntest noch den CWS Shredder zur Hilfe nehmen: http://www.intermute.com/spysubtract/cwshredder_download.html

[Marvin]

Mit dem Router ist schon richtig, hab so einen,
Mozilla benutze ich auch schon seit langem.
Werd jetzt mal den shredder versuchen

[Marvin]

Der shredder kann auch nichst findem.
Wie gesagt, "escan" findet was, aber ich weiß halt net, wie ich das entfernen kann

[jcliedke]

Gehören die Infizierten Dateien überhaupt zum System von Windows XP?
Hab hier unter Windows 2000 keine davon in dem Ordner, die klingen für mich auch nur so Pseudo Wichtig.
Wenn nicht, im abgesicherten Modus starten, die befallenen Dateien in einen Ordner sichern, evtl packen oder umbenennen.
und dann schauen ob es zu fehlern beim Bootn kommt.
Die Registry sichern, Danach noch mal in Regedit nach den Dateien suchen.

[tyco]

Bei Sophos gibt eine Anleitung (http://www.sophos.de/virusinfo/analyses/trojhaxdoorz.html) und eine Testversion  (http://www.sophos.de/products/sav/) der Antivirensoftware zur Entfernung des Troj/Haxdoor-Z.

[Marvin]

Hab ich gemacht, hat aber nichts gebracht @jcliedke

Cool, danke @tyco       Gibt's da auch was über haxdoor-k?
Hab nämlich rausgefunden, dass die datei vtd_16.exe vom trojaner haxdoor-k abgelegt wird
Den Prozess hab ich mit hijackthis gefixt, aber hat auch nichts gebracht
Kann die datei auch nicht löschen, weil sie verwendet wird (von einem Prozess, den ich
nicht identifizieren kann)
kann mir jemand sagen, wie ich sie loswerde?

[tyco]

Gibt's da auch was über haxdoor-k?

Schutz verfügbar seit 22 September 2004 Troj/Haxdoor-K (http://www.sophos.de/virusinfo/analyses/trojhaxdoork.html).

Hoffentlich hilft es!?

[Hallo45]

Hallo ich Denke mal du hast Windows Xp drauf... Ich kenne mich nämlich mit dem Virus aus hatte ihn auchmal !
Du musst die Windows Cd einlegen... Und dann kannst du irgendwann Windows reparieren anwählen... (R Taste drücken)

So jetz musst du cd C:\Windows\System32

Oder du kannst es auch in dos machen!
falls du Windows 2000
Dann halt cd C:\Winnt\System32

so nun musst du die Folgenden Datein mit dem Befehl "del" löschen

cm.dll
draw32.dll
hm.sys
memlow.sys
vdnt32.sys
vtd_16.exe
wd.sys


z.b dann: del draw32.dll

So wenn du alles gelöscht hast und den Computer Neustartest ist der Virus entfernt!

Bitteschön!!!